# 准备使用 Web 身份联合验证
<a name="WIF.PreparingForUse"></a>

如果您是应用开发人员并希望为应用程序使用 Web 联合身份验证，请遵循以下步骤：

1. **向第三方身份提供商注册，获得开发人员的身份。**以下外部链接提供有关在支持的身份提供商注册的信息：
   + [Login with Amazon 开发人员中心](http://login.amazon.com/)
   + 在 Facebook 网站上[注册](https://business.facebook.com/business/loginpage)
   + 在 Google 网站上[使用 OAuth 2.0 访问 Google API](https://developers.google.com/accounts/docs/OAuth2)

1. **向身份提供商注册您的应用程序。**当您执行此操作时，提供商将提供一个 ID，归您的应用程序专用。如果您希望应用程序用于多个身份提供商，您需要获取每个提供商提供的应用程序 ID。

1. **创建一个或多个 IAM 角色。**您需要为每个应用程序的每个身份提供商创建一个角色。例如，可为应用程序创建一个角色，其中用户通过 Login with Amazon 登录，为同一应用程序再创建第二个角色，其中用户通过 Facebook 登录，为该应用程序再创建第三个角色，其中用户通过 Google 登录。

   作为角色创建过程的一部分，您需要将 IAM 策略附加到角色。您的策略文档应定义应用程序所需的 DynamoDB 资源和访问这些资源的权限。

有关 Web 联合身份的更多信息，请参阅《IAM 用户指南》**中的[关于 Web 联合身份](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html)。

**注意**  
作为 AWS Security Token Service 的替代方案，您可以使用 Amazon Cognito。Amazon Cognito 是管理移动应用程序临时凭证的首选服务。有关更多信息，请参阅《Amazon Cognito 开发人员指南》**中的[获取凭证](https://docs.aws.amazon.com/cognito/latest/developerguide/getting-credentials.html)。

## 使用 DynamoDB 控制台生成 IAM 策略
<a name="WIF.PreparingForUse.DDBConsole"></a>

DynamoDB 控制台可帮助您创建用于 Web 联合身份验证的 IAM 策略。要完成此操作，您需要选择一个 DynamoDB 表并指定要包含在策略中的身份提供商、操作和属性。随后，DynamoDB 控制台将生成可附加到 IAM 角色的策略。

1. 登录 AWS 管理控制台，并打开 DynamoDB 控制台：[https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/)。

1.  在导航窗格中，选择**表**。

1.  在表列表中，选择您要为其创建 IAM 策略的表。

1.  选择**操作**按钮，然后选择**创建访问控制策略**。

1.  选择策略的身份提供商、操作和属性。

    根据需要进行设置后，选择**生成策略**。生成的策略随即就会出现。

1.  选择**参阅文档**，然后按照所需的步骤将生成的策略附加到 IAM 角色。