身分驗證

存取 AWS Backup 或您要備份 AWS 的服務需要 AWS 登入資料，可用來驗證您的請求。您可以存取 AWS 做為下列任一類型的身分：

• AWS 帳戶 根使用者 – 當您註冊時 AWS，您會提供與 AWS 您的帳戶相關聯的電子郵件地址和密碼。這是您的「AWS 帳戶 根使用者」。其登入資料可讓您完整存取所有 AWS 資源。

  重要

  基於安全理由，建議您只在建立管理員時使用根使用者，管理員是對您的 AWS 帳戶具有完整許可的「IAM 使用者」。然後，您可以使用此管理員使用者建立其他 IAM 使用者和角色，並授予有限許可。如需詳細資訊，請參閱IAM 使用者指南中的 IAM 最佳實務和建立您的第一個 IAM 管理員使用者和群組。

• IAM 使用者 – IAM 使用者是您 AWS 帳戶 中的一種身分，具有特定的自訂許可 (例如，建立備份文件庫以儲存備份的許可)。您可以使用 IAM 使用者名稱和密碼登入，以保護 AWS Management Console、 AWS 討論論壇或 AWS 支援 中心等 AWS 網頁。

  除了使用者名稱和密碼之外，您也可以為每個使用者產生存取金鑰。當您透過其中一個 SDKs 或使用 AWS Command Line Interface (AWS CLI)，以程式設計方式存取 AWS 服務時，您可以使用這些金鑰。此軟體開發套件和 AWS CLI 工具使用存取金鑰，以加密方式簽署您的請求。如果您不使用 AWS 工具，您必須自行簽署請求。如需有關驗證請求的詳細資訊，請參閱《AWS 一般參考》中的 Signature 第 4 版簽署程序。

• IAM 角色 – IAM 角色是您可以在帳戶中建立的另一種 IAM 身分，具有特定的許可。這類似 IAM 使用者，但不與特定的人關聯。IAM 角色可讓您取得可用來存取 AWS 服務和資源的臨時存取金鑰。使用臨時憑證的 IAM 角色在下列情況中非常有用：

  • 聯合身分使用者存取 – 您可以使用來自 AWS Directory Service企業使用者目錄或 Web 身分提供者的預先存在使用者身分，而不是建立 IAM 使用者。這些稱為聯合身分使用者。透過身分提供者身分提供者來請求存取時， AWS 會指派角色給聯合身分使用者。如需有關聯合身分使用者的詳細資訊，請參閱 IAM 使用者指南中的聯合身分使用者和角色。

  • 跨帳戶管理 – 您可以使用帳戶中的 IAM 角色來授予管理您帳戶資源的另一個 AWS 帳戶 許可。如需範例，請參閱《IAM 使用者指南》中的教學課程： AWS 帳戶 使用 IAM 角色委派存取權。

  • AWS 服務存取 – 您可以使用帳戶中的 IAM 角色來授予存取您帳戶資源 AWS 的服務許可。如需詳細資訊，請參閱《IAM 使用者指南》中的建立角色以委派許可給 AWS 服務。

  • 在 Amazon Elastic Compute Cloud (Amazon EC2) 上執行的應用程式 – 您可以使用 IAM 角色來管理在 Amazon EC2 執行個體上執行之應用程式的臨時登入資料，並提出 AWS API 請求。這是在 EC2 執行個體內儲存存取金鑰的較好方式。若要將 AWS 角色指派給 EC2 執行個體並將其提供給其所有應用程式，您可以建立連接至執行個體的執行個體描述檔。執行個體描述檔包含該角色，並且可讓 EC2 執行個體上執行的程式取得臨時憑證。如需詳細資訊，請參閱《IAM 使用者指南》中的使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可。