身分驗證與存取

在開發AWS時，您必須建立程式碼的驗證方式。AWS 服務您可以根據環境和您可用的存取權，以不同的方式設定AWS資源的程式設計AWS存取。

本機執行程式碼的驗證選項 (不在中AWS)

• IAM Identity Center 驗證— 為了安全性最佳做法，我們建議您AWS Organizations搭配 IAM 身分中心管理所有人的存取AWS 帳戶。您可以在中建立使用者AWS IAM Identity Center、使用 Microsoft 作用中目錄、使用 SAML 2.0 身分識別提供者 (IdP)，或個別將您的 IdP 聯合至。AWS 帳戶若要檢查您的區域是否支援 IAM 身分中心，請參閱 AWS IAM Identity CenterAmazon Web Services 一般參考.

• IAM Roles Anywhere— 您可以使用 IAM 角色隨處取得 IAM 中的臨時安全登入資料，以處理在外部執行的伺服器、容器和應用程式等工作負載AWS。若要在任何地方使用 IAM 角色，您的工作負載必須使用 X.509 憑證。

• 擔任角色— 您可以假設 IAM 角色暫時存取您可能無法存取的AWS資源。

• AWS 存取金鑰— 可能不太方便或可能增加AWS資源安全風險的其他選項。

在AWS環境中執行之程式碼的驗證選項

• 針對 Amazon EC2 執行個體使用 IAM 角色— 使用 IAM 角色在 Amazon EC2 執行個體上安全地執行您的應用程式。

• 您可以透過下列方式以程式設計方式與AWS使用 IAM 身分中心進行互動：

  • 用AWS CloudShell於從控制台運行AWS CLI命令。

  • 用於AWS Cloud9開始AWS使用具有AWS資源的整合式開發環境 (IDE) 程式設計。

  • 若要為軟體開發團隊試用雲端協作空間，請考慮使用 Amazon CodeCatalyst。

透過 Web 型身分識別提供者進行驗證-行動裝置或用戶端 Web 應用

如果您要建立需要存取權的行動應用程式或以用戶端為基礎的 Web 應用程式AWS，請建置您的應用程式，使其使用 Web 身分同盟動態要求臨時AWS安全性登入資料。

有了 Web 聯合身分，您就不需要建立自訂登入代碼，或管理您自己的使用者身分。相反，應用程序用戶可以使用知名的外部身份提供商（IdP）登錄，例如使用亞馬遜，Facebook，谷歌或任何其他 OpenID Connect（OIDC）兼容的 IdP 登錄。他們可以收到身分驗證權杖，然後交換取得用於 AWS 的暫時安全憑證，並藉其對應到可使用您的 AWS 帳戶 下資源之許可的 IAM 角色。

若要瞭解如何針對 SDK 或工具進行設定，請參閱與網絡身份或 OpenID Connect 聯盟。

對於行動應用程式，請考慮使用 Amazon Cognito。Amazon Cognito 充當身分識別代理人，為您完成大部分聯合會工作。如需詳細資訊，請參閱 IAM 使用者指南中的行動應用程式使用 Amazon Cognito。

關於存取管理的詳細資訊

IAM 使用者指南包含下列有關安全控制AWS資源存取的資訊：

• IAM 身分 (使用者、使用者群組和角色) — 瞭解AWS.

• IAM 中的安全最佳實務 — 根據共享責任模型開發AWS應用程式時應遵循的安全建議。

具Amazon Web Services 一般參考有以下基礎知識：

• 瞭解並取得您的AWS認證 — 存取主控台和程式設計存取的金鑰選項和管理實務。

AWS 建構家 ID

您可以AWS 建構家 ID補充AWS 帳戶您可能已經擁有或想要創建的任何內容。雖然AWS 帳戶作為您建立之AWS資源的容器，並為這些資源提供安全性界限，但您的AWS 建構家 ID代表您是個人。您可以使用您的登錄AWS 建構家 ID以訪問 Amazon 和 Amazon 等開發人員工具 CodeWhisperer 和服務 CodeCatalyst。

• 使用用AWS 登入戶指南登錄 — 了解如何創建和使用，AWS 建構家 ID並了解生成器 ID 提供的AWS 建構家 ID內容。

• 使用 CodeWhisperer 和進行驗證 AWS 工具組-使用CodeWhisperer 者指南中的產生器 ID — 瞭解如何 CodeWhisperer 使用AWS 建構家 ID.

• CodeCatalyst概念-AWS 建構家 ID 請參閱 Amazon 使用 CodeCatalyst 者指南 — 了解如何 CodeCatalyst 使用AWS 建構家 ID.