Cont AWS rol Tower 中的身份和访问管理 - AWS Control Tower
身份验证访问控制

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Cont AWS rol Tower 中的身份和访问管理

要在着陆区域中执行任何操作,例如在 Account Factory 中配置账户或在 Contro AWS l Tower 控制台中创建新的组织单位 (OUs), AWS Identity and Access Management (IAM) 或 AWS IAM Identity Center 要求您验证自己已获得批准 AWS 用户。例如,如果您使用的是 Cont AWS rol Tower 控制台,则可以通过提供您的身份来验证自己的身份 AWS 凭证,由您的管理员提供。

验证身份后,IAM控制您的访问权限 AWS 对一组特定的操作和资源拥有一组已定义的权限。如果您是账户管理员,则可以使用IAM控制其他IAM用户对与您的账户关联的资源的访问权限。

主题

身份验证

你可以访问 AWS 作为以下任何类型的身份:

  • AWS 账户 root 用户 — 当你第一次创建 AWS 账户,你从一个可以完全访问所有人的身份开始 AWS 账户中的服务和资源。这个身份叫做 AWS 帐户 root 用户。当使用创建账户所用的电子邮件地址和密码登录时,您可以获得此身份。强烈建议您不使用根用户执行日常任务,即使是管理任务。相反,请遵循最佳实践,即仅使用根用户来创建您的第一个 Ident IAM ity Center 用户(推荐)或IAM用户(在大多数用例中不是最佳实践)。然后请妥善保存根用户凭证,仅用它们执行少数账户和服务管理任务。有关更多信息,请参阅 何时以 root 用户身份登录

  • IAM用户-IAM用户是您内部的身份 AWS 具有特定自定义权限的账户。您可以使用IAM用户凭据登录以进行安全登录 AWS 网页,例如 AWS 管理控制台, AWS 讨论论坛,或 AWS Support Center AWS 最佳实践建议您创建 Ident IAM ity Cent IAM er 用户而不是用户,因为创建具有长期凭证的IAM用户会面临更大的安全风险。

    如果您必须为特定目的创建IAM用户,那么除了登录凭证之外,您还可以为每个IAM用户生成访问密钥。你可以在打电话时使用这些按键 AWS 以编程方式提供服务,要么通过多种方式中的一个,要SDKs么使用 AWS 命令行界面 (CLI)。SDK和CLI工具使用访问密钥对您的请求进行加密签名。如果你不使用 AWS 工具,您必须自己签署请求。AWSControl Tower 支持签名版本 4,这是一种用于对入站API请求进行身份验证的协议。有关对请求进行身份验证的更多信息,请参阅中的签名版本 4 签名流程 AWS 一般参考。

  • IAM角色-IAM角色是您可以在账户中创建的具有特定权限的IAM身份。IAM角色与IAM用户类似,因为它是 AWS 身份,它有权限策略来确定身份可以做什么和不能做什么 AWS。 但是,与其将一个角色与一个人联系在一起,不如让任何需要它的人都能担任。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。IAM具有临时证书的角色在以下情况下很有用:

    • 联合用户访问权限-您可以使用来自的现有身份,而不是创建IAM用户 AWS Directory Service、您的企业用户目录或 Web 身份提供商。他们被称为联合身份用户。 AWS 当通过身份提供者请求访问权限时,将角色分配给联合用户。有关联合用户的更多信息,请参阅用户指南中的联合IAM用户和角色

    • AWS 服务访问权限 — 服务IAM角色是服务代替您在账户中执行操作的角色。当你设置一些的时候 AWS 服务环境,则必须为服务定义要扮演的角色。此服务角色必须包含服务访问所需的所有权限 AWS 它需要的资源。服务角色因服务而异,但只要您满足服务记录在案的要求,许多服务都允许您选择权限。服务角色只在您的账户内提供访问权限,不能用于为访问其它账户中的服务授权。您可以从中创建、修改和删除服务角色IAM。例如,您可以创建一个角色以允许 Amazon Redshift 代表您访问 Amazon S3 存储桶,然后将该存储桶中的数据加载到 Amazon Redshift 集群中。有关更多信息,请参阅创建角色以向某人委派权限 AWS 《IAM用户指南中的服务。

    • 在 Amazon 上运行的应用程序 EC2 — 您可以使用IAM角色管理在 Amazon EC2 实例上运行并正在制作的应用程序的临时证书 AWS CLI或 AWS API请求。这比将访问密钥存储在 Amazon EC2 实例中更可取。要分配 AWS 在 Amazon EC2 实例中扮演角色并使其可供其所有应用程序使用,您就可以创建附加到该实例的实例配置文件。实例配置文件包含角色并允许在 Amazon EC2 实例上运行的程序获得临时证书。有关更多信息,请参阅IAM用户指南中的使用IAM角色向在 Amazon EC2 实例上运行的应用程序授予权限

  • IAM身份中心用户对身份中心用户门户的IAM身份验证由您连接到 Ident IAM ity Center 的目录控制。但是,授权 AWS 用户门户中可供最终用户使用的帐户由两个因素决定:

    • 谁被分配了访问这些权限的权限 AWS 中的账户 AWS IAM身份中心控制台。有关更多信息,请参阅中的单点登录访问权限 AWS IAM Identity Center 用户指南

    • 中已向最终用户授予了什么级别的权限 AWS IAMIdentity Center 控制台允许他们适当访问这些控制台 AWS 账户。有关更多信息,请参阅中的权限集 AWS IAM Identity Center 用户指南

访问控制

创建、更新、删除或列出 Cont AWS rol Tower 资源或其他资源 AWS landing zone 中的资源您需要权限才能执行操作,并且需要访问相应资源的权限。此外,要以编程方式执行该操作,您需要有效的访问密钥。

以下各节介绍如何管理 Cont AWS rol Tower 的权限:

主题