Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Authentifizierung und Zugriff mithilfe von AWS SDKs Tools
Wenn Sie eine AWS SDK-Anwendung entwickeln oder zu verwendende AWS Tools verwenden AWS-Services, müssen Sie festlegen, mit welcher Methode Ihr Code oder Tool authentifiziert wird. AWS Sie können den programmatischen Zugriff auf AWS Ressourcen auf unterschiedliche Weise konfigurieren, abhängig von der Umgebung, in der der Code ausgeführt wird, und dem verfügbaren AWS Zugriff.
Die folgenden Optionen sind Teil der Anmeldeinformationsanbieterkette. Das bedeutet, dass Ihr AWS SDK oder Tool diese Authentifizierungsmethode automatisch erkennt AWS config und verwendet, wenn Sie Ihre geteilten credentials Dateien und Dateien entsprechend konfigurieren.
Wählen Sie eine Methode zur Authentifizierung Ihres Anwendungscodes
Wählen Sie eine Methode zur Authentifizierung der Aufrufe, an die Ihre Anwendung gesendet AWS hat.
Wenn Ihr Code auf läuft AWS, können Anmeldeinformationen automatisch für Ihre Anwendung verfügbar gemacht werden. Wenn Ihre Anwendung beispielsweise auf Amazon Elastic Compute Cloud gehostet wird und dieser Ressource eine IAM-Rolle zugeordnet ist, werden die Anmeldeinformationen automatisch für Ihre Anwendung verfügbar gemacht. Wenn Sie Amazon ECS- oder Amazon EKS-Container verwenden, können die für die IAM-Rolle festgelegten Anmeldeinformationen ebenfalls automatisch abgerufen werden, indem der Code innerhalb des Containers über die Anmeldeinformationsanbieterkette des SDK ausgeführt wird.
Verwenden von IAM-Rollen zur Authentifizierung von Anwendungen, die auf Amazon bereitgestellt werden EC2— Verwenden Sie IAM-Rollen, um Ihre Anwendung sicher auf einer EC2 Amazon-Instance auszuführen.
Lambda erstellt eine Ausführungsrolle mit minimalen Berechtigungen, wenn Sie eine Lambda-Funktion erstellen. Das AWS SDK oder Tool verwendet dann automatisch die IAM-Rolle, die dem Lambda zur Laufzeit über die Lambda-Ausführungsumgebung zugewiesen ist.
Verwenden Sie die IAM-Rolle für die Aufgabe. Sie müssen eine Aufgabenrolle erstellen und diese Rolle in Ihrer Amazon ECS-Aufgabendefinition angeben. Das AWS SDK oder Tool verwendet dann automatisch die der Aufgabe zur Laufzeit zugewiesene IAM-Rolle über die Amazon ECS-Metadaten.
Wir empfehlen Ihnen, Amazon EKS Pod Identities zu verwenden.
Hinweis: Wenn Sie der Meinung sind, dass IAM-Rollen für Service Accounts (IRSA) besser auf Ihre individuellen Bedürfnisse zugeschnitten sind, finden Sie weitere Informationen unter Vergleich von EKS Pod Identity und IRSA im Amazon EKS-Benutzerhandbuch.
Weitere Informationen finden Sie unter Verwenden identitätsbasierter Richtlinien für. CodeBuild
Sehen Sie sich den speziellen Leitfaden für Sie an AWS-Service. Wenn Sie Code on ausführen AWS, kann die SDK-Anmeldeinformationsanbieterkette automatisch Anmeldeinformationen für Sie abrufen und aktualisieren.
Wenn Sie mobile Anwendungen oder clientbasierte Webanwendungen erstellen, auf die Zugriff erforderlich ist AWS, erstellen Sie Ihre App so, dass sie mithilfe eines Web-Identitätsverbunds dynamisch temporäre AWS Sicherheitsanmeldeinformationen anfordert.
Mit Web-Identitätsverbund müssen Sie keinen eigenen Anmeldecode schreiben oder eigene Benutzeridentitäten verwalten. Stattdessen können sich App-Nutzer mit einem bekannten externen Identitätsanbieter (IdP) wie Login with Amazon, Facebook, Google oder einem anderen OpenID Connect (OIDC) -kompatiblen IdP anmelden. Sie können ein Authentifizierungstoken erhalten und dieses Token dann gegen temporäre Sicherheitsanmeldeinformationen in AWS dieser Zuordnung zu einer IAM-Rolle mit Berechtigungen zur Nutzung der Ressourcen in Ihrem eintauschen. AWS-Konto
Wie Sie dies für Ihr SDK oder Tool konfigurieren, erfahren Sie unterÜbernahme einer Rolle bei Web Identity oder OpenID Connect zur Authentifizierung und Tools AWS SDKs .
Erwägen Sie für mobile Anwendungen die Verwendung von Amazon Cognito. Amazon Cognito fungiert als Identitätsbroker und erledigt einen Großteil der Verbundarbeit für Sie. Weitere Informationen finden Sie unter Verwenden von Amazon Cognito für mobile Apps im IAM-Benutzerhandbuch.
Wir empfehlenVerwenden von IAM Identity Center zur Authentifizierung von AWS SDK und Tools.
Aus Sicherheitsgründen empfehlen wir die Verwendung AWS Organizations zusammen mit IAM Identity Center, um den Zugriff für alle Ihre AWS-Konten Benutzer zu verwalten. Sie können Benutzer in Microsoft Active Directory erstellen AWS IAM Identity Center, einen SAML 2.0-Identitätsanbieter (IdP) verwenden oder Ihren IdP individuell mit diesem verbinden. AWS-Konten Informationen darüber, ob Ihre Region IAM Identity Center unterstützt, finden Sie unter AWS IAM Identity Center Endpunkte und Kontingente in der. Allgemeine Amazon Web Services-Referenz
(Empfohlen) Erstellen Sie einen IAM-Benutzer mit den geringsten Rechten und Berechtigungen für sts:AssumeRole den Zugriff auf Ihre Zielrolle. Konfigurieren Sie dann Ihr Profil so, dass es eine Rolle annimmt, indem Sie eine für diesen Benutzer source_profile eingerichtete Konfiguration verwenden.
Sie können temporäre IAM-Anmeldeinformationen auch über Umgebungsvariablen oder die gemeinsam genutzte AWS credentials Datei verwenden. Siehe Verwendung von kurzfristigen Anmeldeinformationen zur Authentifizierung AWS SDKs und Tools.
Hinweis: Dies können Sie nur in Sandbox- oder Lernumgebungen in Betracht ziehen. Verwendung langfristiger Anmeldeinformationen zur Authentifizierung AWS SDKs und Tools
Ja: SieheAuthentifizierung AWS SDKs und Tools mit IAM Roles Anywhere. Sie können IAM Roles Anywhere verwenden, um temporäre Sicherheitsanmeldeinformationen in IAM für Workloads wie Server, Container und Anwendungen abzurufen, die außerhalb von ausgeführt werden. AWS Um IAM Roles Anywhere verwenden zu können, müssen Ihre Workloads X.509-Zertifikate verwenden.
Wird verwendetAnbieter von Prozessanmeldedaten, um Anmeldeinformationen zur Laufzeit automatisch abzurufen. Diese Systeme verwenden möglicherweise ein Hilfstool oder ein Plug-in, um die Anmeldeinformationen abzurufen, und übernehmen möglicherweise im Hintergrund eine IAM-Rolle mithilfe vonsts:AssumeRole.
Verwenden Sie temporäre Anmeldeinformationen, die über eingegeben wurden AWS Secrets Manager. Optionen zum Abrufen kurzlebiger Zugriffsschlüssel finden Sie unter Temporäre Sicherheitsanmeldedaten anfordern im IAM-Benutzerhandbuch. Optionen zum Speichern dieser temporären Anmeldeinformationen finden Sie unter. AWS Zugriffstasten
Sie können diese Anmeldeinformationen verwenden, um umfassendere Anwendungsberechtigungen sicher aus Secrets Manager abzurufen, wo Ihre Produktionsgeheimnisse oder langlebige rollenbasierte Anmeldeinformationen gespeichert werden können.
Die beste Anleitung zur Beschaffung von Anmeldeinformationen finden Sie in der von Ihrem Drittanbieter verfassten Dokumentation.
Ja: Verwenden Sie Umgebungsvariablen und temporäre AWS STS Anmeldeinformationen.
Nein: Verwenden Sie statische Zugriffsschlüssel, die im verschlüsselten Secret Manager gespeichert sind (letzter Ausweg).
Authentifizierungsmethoden
Authentifizierungsmethoden für Code, der in einer AWS Umgebung ausgeführt wird
Wenn Ihr Code auf läuft AWS, können Anmeldeinformationen automatisch für Ihre Anwendung verfügbar gemacht werden. Wenn Ihre Anwendung beispielsweise auf Amazon Elastic Compute Cloud gehostet wird und dieser Ressource eine IAM-Rolle zugeordnet ist, werden die Anmeldeinformationen automatisch für Ihre Anwendung verfügbar gemacht. Wenn Sie Amazon ECS- oder Amazon EKS-Container verwenden, können die für die IAM-Rolle festgelegten Anmeldeinformationen ebenfalls automatisch abgerufen werden, indem der Code innerhalb des Containers über die Anmeldeinformationsanbieterkette des SDK ausgeführt wird.
-
Verwenden von IAM-Rollen zur Authentifizierung von Anwendungen, die auf Amazon bereitgestellt werden EC2— Verwenden Sie IAM-Rollen, um Ihre Anwendung sicher auf einer EC2 Amazon-Instance auszuführen.
-
Sie können auf folgende Weise programmgesteuert mit der AWS Nutzung von IAM Identity Center interagieren:
-
Wird verwendet AWS CloudShell, um AWS CLI Befehle von der Konsole aus auszuführen.
-
Wenn Sie einen cloudbasierten Kollaborationsraum für Softwareentwicklungsteams ausprobieren möchten, sollten Sie Amazon in Betracht ziehen CodeCatalyst.
-
Authentifizierung über einen webbasierten Identitätsanbieter — mobile oder clientbasierte Webanwendungen
Wenn Sie mobile Anwendungen oder clientbasierte Webanwendungen erstellen, auf die Zugriff erforderlich ist AWS, erstellen Sie Ihre App so, dass sie mithilfe eines Web-Identitätsverbunds dynamisch temporäre AWS Sicherheitsanmeldeinformationen anfordert.
Mit Web-Identitätsverbund müssen Sie keinen eigenen Anmeldecode schreiben oder eigene Benutzeridentitäten verwalten. Stattdessen können sich App-Nutzer mit einem bekannten externen Identitätsanbieter (IdP) wie Login with Amazon, Facebook, Google oder einem anderen OpenID Connect (OIDC) -kompatiblen IdP anmelden. Sie können ein Authentifizierungstoken erhalten und dieses Token dann gegen temporäre Sicherheitsanmeldeinformationen in AWS dieser Zuordnung zu einer IAM-Rolle mit Berechtigungen zur Nutzung der Ressourcen in Ihrem eintauschen. AWS-Konto
Wie Sie dies für Ihr SDK oder Tool konfigurieren, erfahren Sie unterÜbernahme einer Rolle bei Web Identity oder OpenID Connect zur Authentifizierung und Tools AWS SDKs .
Erwägen Sie für mobile Anwendungen die Verwendung von Amazon Cognito. Amazon Cognito fungiert als Identitätsbroker und erledigt einen Großteil der Verbundarbeit für Sie. Weitere Informationen finden Sie unter Verwenden von Amazon Cognito für mobile Apps im IAM-Benutzerhandbuch.
Authentifizierungsmethoden für Code, der lokal ausgeführt wird (nicht in) AWS
-
Verwenden von IAM Identity Center zur Authentifizierung von AWS SDK und Tools— Aus Sicherheitsgründen empfehlen wir die Verwendung AWS Organizations zusammen mit IAM Identity Center, um den Zugriff für alle Benutzer zu verwalten. AWS-Konten Sie können Benutzer in Microsoft Active Directory erstellen AWS IAM Identity Center, einen SAML 2.0-Identitätsanbieter (IdP) verwenden oder Ihren IdP individuell mit diesem verbinden. AWS-Konten Informationen darüber, ob Ihre Region IAM Identity Center unterstützt, finden Sie unter AWS IAM Identity Center Endpunkte und Kontingente in der. Allgemeine Amazon Web Services-Referenz
-
Authentifizierung AWS SDKs und Tools mit IAM Roles Anywhere— Sie können IAM Roles Anywhere verwenden, um temporäre Sicherheitsanmeldedaten in IAM für Workloads wie Server, Container und Anwendungen abzurufen, die außerhalb von ausgeführt werden. AWS Um IAM Roles Anywhere verwenden zu können, müssen Ihre Workloads X.509-Zertifikate verwenden.
-
Übernahme einer Rolle mit AWS Anmeldeinformationen zur Authentifizierung AWS SDKs und Tools— Sie können eine IAM-Rolle annehmen, um vorübergehend auf AWS Ressourcen zuzugreifen, auf die Sie sonst möglicherweise keinen Zugriff hätten.
-
Verwendung von AWS Zugriffsschlüsseln zur Authentifizierung AWS SDKs und Tools— Andere Optionen, die möglicherweise weniger praktisch sind oder das Sicherheitsrisiko für Ihre AWS Ressourcen erhöhen könnten.
Weitere Informationen zur Zugriffsverwaltung
Das IAM-Benutzerhandbuch enthält die folgenden Informationen zur sicheren Steuerung des Zugriffs auf AWS Ressourcen:
-
IAM-Identitäten (Benutzer, Benutzergruppen und Rollen) — Verstehen Sie die Grundlagen von Identitäten in. AWS
-
Bewährte Sicherheitspraktiken in IAM — Sicherheitsempfehlungen, die bei der Entwicklung von AWS Anwendungen nach dem Modell der geteilten Verantwortung zu beachten sind.
Das Allgemeine Amazon Web Services-Referenzenthält grundlegende Grundlagen zu den folgenden Themen:
-
Ihre AWS Anmeldeinformationen verstehen und abrufen — Zugriff auf wichtige Optionen und Verwaltungspraktiken sowohl für den Konsolen- als auch für den programmgesteuerten Zugriff.
Zugriff auf das IAM Identity Center-Plugin für Trusted Identity Propagation (TIP) AWS-Services
-
Verwenden des TIP-Plugins für den Zugriff AWS-Services— Wenn Sie eine Anwendung für Amazon Q Business oder einen anderen Service erstellen, der die Verbreitung vertrauenswürdiger Identitäten unterstützt, und das AWS SDK für Java oder das verwenden AWS SDK für JavaScript, können Sie das TIP-Plugin verwenden, um die Autorisierung zu vereinfachen.
AWS Builder ID
Sie AWS Builder ID ergänzen alle, die AWS-Konten Sie vielleicht schon besitzen oder erstellen möchten. Eine AWS-Konto fungiert zwar als Container für AWS Ressourcen, die Sie erstellen, und bietet eine Sicherheitsgrenze für diese Ressourcen, aber Ihre AWS Builder ID repräsentiert Sie als Einzelperson. Sie können sich mit Ihrem anmelden AWS Builder ID , um auf Entwicklertools und -dienste wie Amazon Q und Amazon zuzugreifen CodeCatalyst.
-
Melden Sie sich AWS Builder ID im AWS-Anmeldung Benutzerhandbuch an — Erfahren Sie, wie Sie eine erstellen und verwenden, AWS Builder ID und erfahren Sie, was die Builder-ID bietet.
-
CodeCatalystKonzepte — AWS Builder ID im CodeCatalyst Amazon-Benutzerhandbuch — Erfahren Sie, wie ein CodeCatalyst verwendet wird AWS Builder ID.
