本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
身分驗證與存取
在開發AWS時,您必須建立程式碼的驗證方式。AWS 服務您可以根據環境和您可用的存取權,以不同的方式設定AWS資源的程式設計AWS存取。
本機執行程式碼的驗證選項 (不在中AWS)
-
IAM Identity Center 驗證— 為了安全性最佳做法,我們建議您AWS Organizations搭配 IAM 身分中心管理所有人的存取AWS 帳戶。您可以在中建立使用者AWS IAM Identity Center、使用 Microsoft 作用中目錄、使用 SAML 2.0 身分識別提供者 (IdP),或個別將您的 IdP 聯合至。AWS 帳戶若要檢查您的區域是否支援 IAM 身分中心,請參閱 AWS IAM Identity CenterAmazon Web Services 一般參考.
-
IAM Roles Anywhere— 您可以使用 IAM 角色隨處取得 IAM 中的臨時安全登入資料,以處理在外部執行的伺服器、容器和應用程式等工作負載AWS。若要在任何地方使用 IAM 角色,您的工作負載必須使用 X.509 憑證。
-
擔任角色— 您可以假設 IAM 角色暫時存取您可能無法存取的AWS資源。
-
AWS 存取金鑰— 可能不太方便或可能增加AWS資源安全風險的其他選項。
在AWS環境中執行之程式碼的驗證選項
-
針對 Amazon EC2 執行個體使用 IAM 角色— 使用 IAM 角色在 Amazon EC2 執行個體上安全地執行您的應用程式。
-
您可以透過下列方式以程式設計方式與AWS使用 IAM 身分中心進行互動:
-
用AWS CloudShell於從控制台運行AWS CLI命令。
-
用於AWS Cloud9開始AWS使用具有AWS資源的整合式開發環境 (IDE) 程式設計。
-
若要為軟體開發團隊試用雲端協作空間,請考慮使用 Amazon CodeCatalyst。
-
透過 Web 型身分識別提供者進行驗證-行動裝置或用戶端 Web 應用
如果您要建立需要存取權的行動應用程式或以用戶端為基礎的 Web 應用程式AWS,請建置您的應用程式,使其使用 Web 身分同盟動態要求臨時AWS安全性登入資料。
有了 Web 聯合身分,您就不需要建立自訂登入代碼,或管理您自己的使用者身分。相反,應用程序用戶可以使用知名的外部身份提供商(IdP)登錄,例如使用亞馬遜,Facebook,谷歌或任何其他 OpenID Connect(OIDC)兼容的 IdP 登錄。他們可以收到身分驗證權杖,然後交換取得用於 AWS 的暫時安全憑證,並藉其對應到可使用您的 AWS 帳戶 下資源之許可的 IAM 角色。
若要瞭解如何針對 SDK 或工具進行設定,請參閱與網絡身份或 OpenID Connect 聯盟。
對於行動應用程式,請考慮使用 Amazon Cognito。Amazon Cognito 充當身分識別代理人,為您完成大部分聯合會工作。如需詳細資訊,請參閱 IAM 使用者指南中的行動應用程式使用 Amazon Cognito。
關於存取管理的詳細資訊
IAM 使用者指南包含下列有關安全控制AWS資源存取的資訊:
-
IAM 身分 (使用者、使用者群組和角色) — 瞭解AWS.
-
IAM 中的安全最佳實務 — 根據共享責任模型
開發AWS應用程式時應遵循的安全建議。
具Amazon Web Services 一般參考有以下基礎知識:
-
瞭解並取得您的AWS認證 — 存取主控台和程式設計存取的金鑰選項和管理實務。
AWS 建構家 ID
您可以AWS 建構家 ID補充AWS 帳戶您可能已經擁有或想要創建的任何內容。雖然AWS 帳戶作為您建立之AWS資源的容器,並為這些資源提供安全性界限,但您的AWS 建構家 ID代表您是個人。您可以使用您的登錄AWS 建構家 ID以訪問 Amazon 和 Amazon 等開發人員工具 CodeWhisperer 和服務 CodeCatalyst。
-
使用用AWS 登入戶指南登錄 — 了解如何創建和使用,AWS 建構家 ID並了解生成器 ID 提供的AWS 建構家 ID內容。
-
使用 CodeWhisperer 和進行驗證 AWS 工具組-使用CodeWhisperer 者指南中的產生器 ID — 瞭解如何 CodeWhisperer 使用AWS 建構家 ID.
-
CodeCatalyst概念-AWS 建構家 ID 請參閱 Amazon 使用 CodeCatalyst 者指南 — 了解如何 CodeCatalyst 使用AWS 建構家 ID.