AWS Identity and Access Management 在 AWS Cloud Map - AWS Cloud Map
身分驗證存取控制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Identity and Access Management 在 AWS Cloud Map

若要對 AWS Cloud Map 資源執行任何動作,例如註冊網域或更新記錄, AWS Identity and Access Management (IAM) 會要求您驗證您是核准的 AWS 使用者。如果您使用 AWS Cloud Map 主控台,請提供使用 AWS 者名稱和密碼來驗證您的身分。如果您 AWS Cloud Map 以程式設計方式存取,應用程式會使用存取金鑰或簽署要求來驗證您的身分。

驗證身分後,IAM AWS 透過驗證您是否具有執行動作和存取資源的權限來控制您的存取權限。如果您是帳戶管理員,您可以使用 IAM 控制其他使用者能否存取您的帳戶相關資源。

本章說明如何使用 IAM 以及協 AWS Cloud Map 助保護您的資源。

主題

身分驗證

您可以存取 AWS 下列任一項目:

  • AWS 帳戶根使用者— 首次建立 AWS 帳戶時,您會從單一登入身分開始,該身分可以完全存取該帳戶中的所有 AWS 服務和資源。此身分稱為 AWS 帳戶根使用者,是藉由您用來建立帳戶的電子郵件地址和密碼以登入並存取。當您建立時 AWS 帳戶,您會從一個登入身分開始,該身分可完整存取該帳戶中的所有資源 AWS 服務 和資源。此身分稱為 AWS 帳戶 root 使用者,可透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需這些任務的完整清單,了解需以根使用者登入的任務,請參閱 IAM 使用者指南中的需要根使用者憑證的任務

  • IAM 使用者IAM 使用者是您 AWS 帳戶中具有特定自訂許可的身分 (例如,在中建立 HTTP 命名空間的權限 AWS Cloud Map)。您可以使用 IAM 登入憑證來保護 AWS 網頁,例如 AWS Management ConsoleAWS Re: post 或中AWS Support 心。

    除了登入憑證外,您還可以為每個使用者產生存取金鑰。當您以程式設計方式存取 AWS 服務時,您可以使用這些金鑰,無論是透過數個 SDK 之一或使用 AWS Command Line Interface. 此 SDK 和 CLI 工具使用存取金鑰,以加密方式簽署您的請求。如果您不使用 AWS 工具,則必須自行簽署要求。 AWS Cloud Map 支援簽章版本 4,這是一種驗證傳入 API 要求的通訊協定。如需驗證要求的詳細資訊,請參閱AWS Identity and Access Management 使用者指南中的簽署 AWS API 要求

  • IAM 角色IAM 角色是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色與 IAM 使用者類似,因為它是具有許可政策的 AWS 身分識別,可決定身分可以執行和不能在其中執行的操作 AWS。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性登入資料。使用臨時登入資料的 IAM 角色在下列情況中非常有用:

    • 聯合使用者存取 — 您可以使用企業使用者目錄或 Web 身分提供者的現有使用者身分,而不是建立 IAM 使用者。 AWS Directory Service這些稱為聯合使用者。 AWS 透過身分識別提供者要求存取時,會將角色指派給聯合身分使用者。如需有關聯合身分使用者的詳細資訊,請參閱 IAM 使用者指南中的聯合身分使用者和角色

    • AWS 服務存取權 — 您可以在帳戶中使用 IAM 角色授予 AWS 服務許可以存取帳戶資源。例如,您可以建立一個角色,允許 Amazon RedShift 代表您存取 Amazon S3 儲存貯體,然後將該儲存貯體中的資料載入到 Amazon RedShift 叢集。如需詳細資訊,請參閱 IAM 使用者指南中的建立角色以將權限委派給 AWS 服務

    • 在 Amazon EC2 上執行的應用程式 — 您可以使用 IAM 角色管理在 Amazon EC2 執行個體上執行的應用程式的臨時登入資料,並提出 AWS API 請求。這比在 Amazon EC2 執行個體中存放存取金鑰更可取。若要將 AWS 角色指派給 Amazon EC2 執行個體並讓其所有應用程式都可以使用,請建立連接至執行個體的執行個體設定檔。執行個體設定檔包含該角色,並且可讓 Amazon EC2 執行個體上執行的程式取得臨時憑證。如需詳細資訊,請參閱《IAM 使用者指南》中的使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可

存取控制

若要建立、更新、刪除或列出 AWS Cloud Map 資源,您需要執行動作的權限,並且您需要存取對應資源的權限。此外,若要以程式設計方式執行動作,您需要有效的存取金鑰。

下列各節說明如何管理的權限 AWS Cloud Map。我們建議您先閱讀概觀。