身分驗證

存取 AWS Backup 或您要備份的 AWS 服務需要 AWS 可用來驗證您的要求的憑證。您可以存取 AWS 下列任何類型的身分識別：

• AWS 帳戶 root 使用者 — 當您註冊時 AWS，您會提供與您的 AWS 帳戶相關聯的電子郵件地址和密碼。這是您的「AWS 帳戶 根使用者」。其憑據提供對所有 AWS 資源的完整訪問權限。

  重要

  基於安全理由，建議您只在建立管理員時使用根使用者，管理員是對您的 AWS 帳戶具有完整許可的「IAM 使用者」。然後，您可以使用此管理員使用者建立其他 IAM 使用者和角色，並授予有限許可。如需詳細資訊，請參閱IAM 使用者指南中的 IAM 最佳實務和建立您的第一個 IAM 管理員使用者和群組。

• IAM 使用者 – IAM 使用者是您 AWS 帳戶 中的一種身分，具有特定的自訂許可 (例如，建立備份文件庫以儲存備份的許可)。您可以使用 IAM 使用者名稱和密碼登入以保護 AWS 網頁 AWS Management Console，例如、AWS 討論區或中AWS Support 心。

  除了使用者名稱和密碼之外，您也可以為每個使用者產生存取金鑰。當您以程式設計方式存取 AWS 服務時，您可以使用這些金鑰，無論是透過數個 SDK 之一或使用 AWS Command Line Interface (AWS CLI)。此軟體開發套件和 AWS CLI 工具使用存取金鑰，以加密方式簽署您的請求。如果您不使用 AWS 工具，您必須自行簽署請求。如需有關驗證請求的詳細資訊，請參閱《AWS 一般參考》中的 Signature 第 4 版簽署程序。

• IAM 角色 – IAM 角色是您可以在帳戶中建立的另一種 IAM 身分，具有特定的許可。這類似 IAM 使用者，但不與特定的人關聯。IAM 角色可讓您取得可用來存取 AWS 服務和資源的臨時存取金鑰。使用暫時憑證的 IAM 角色在下列情況中非常有用：

  • 聯合使用者存取 — 您可以使用企業使用者目錄或 Web 身分提供者中 AWS Directory Service預先存在的使用者身分，而不是建立 IAM 使用者。這些稱為聯合身分使用者。透過身分提供者身分提供者來請求存取時， AWS 會指派角色給聯合身分使用者。如需有關聯合身分使用者的詳細資訊，請參閱 IAM 使用者指南中的聯合身分使用者和角色。

  • 跨帳戶管理 — 您可以在帳戶中使用 IAM 角色授予其他 AWS 帳戶 權限來管理帳戶的資源。如需範例，請參閱 IAM 使用者指南中的教學課程：跨 AWS 帳戶 使用 IAM 角色委派存取權。

  • AWS 服務存取權 — 您可以在帳戶中使用 IAM 角色授予 AWS 服務許可以存取帳戶資源。如需詳細資訊，請參閱 IAM 使用者指南中的建立角色以將權限委派給 AWS 服務。

  • 在 Amazon 彈性運算雲端 (Amazon EC2) 上執行的應用程式 — 您可以使用 IAM 角色管理在 Amazon EC2 執行個體上執行之應用程式的臨時登入資料，以及提出 AWS API 請求。這是在 EC2 執行個體內儲存存取金鑰的較好方式。若要將 AWS 角色指派給 EC2 執行個體並提供給其所有應用程式，請建立連接至執行個體的執行個體設定檔。執行個體描述檔包含該角色，並且可讓 EC2 執行個體上執行的程式取得臨時憑證。如需詳細資訊，請參閱《IAM 使用者指南》中的使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可。