比較IAM身分和憑證 - AWS Identity and Access Management
條款IAM Identity Center 中的IAM使用者與使用者之間的差異從現有身分來源聯合使用者提供使用者存取權的不同方法支援程式設計使用者存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

比較IAM身分和憑證

在 中管理的身分 AWS Identity and Access Management 是IAM使用者、IAM角色和IAM群組。這些身分是與您的 一起 AWS 建立的根使用者之外的身分 AWS 帳戶。

強烈建議您不要以根使用者處理日常作業,即使是管理作業。相反地,請佈建其他使用者,並授予他們執行必要任務所需的許可。您可以透過將人員新增至 IAM Identity Center 目錄、將外部身分提供者與 IAM Identity Center 聯合IAM或建立最低權限使用者來新增IAM使用者。

為了提高安全性,建議您集中存取根,以協助您使用 集中保護 AWS 帳戶 受管 的根使用者憑證 AWS Organizations。 集中管理成員帳戶的根存取權可讓您集中移除和防止長期根使用者憑證復原,防止大規模存取非預期的根。啟用集中式根存取後,您可以擔任特殊權限工作階段,對成員帳戶執行動作。

設定使用者後,您可以將 的存取權授予特定人員 AWS 帳戶 ,並提供他們存取 資源的許可。

作為最佳實務, AWS 建議您要求人類使用者擔任 IAM 角色來存取 , AWS 以便他們使用臨時憑證。如果您要管理 IAM Identity Center 目錄中的身分,或與身分提供者聯合使用身分,請遵循最佳實務。

條款

使用IAM身分時,通常使用下列詞彙:

IAM 資源

IAM 服務會存放這些資源。您可以從IAM主控台新增、編輯和移除它們。

  • IAM 使用者

  • IAM 群組

  • IAM 角色

  • 許可政策

  • Identity-provider 物件

IAM 實體

IAM AWS 用於身分驗證的資源。在資源型政策中指定實體為主體。

  • IAM 使用者

  • IAM 角色

IAM 身分

在政策中授權執行動作和存取資源IAM的資源。身分包括IAM使用者、IAM群組和IAM角色。

此圖表顯示IAM使用者和IAM角色是實體和身分的主體,但根使用者不是實體或身分的主體。圖表也會通知您,IAM群組是身分。IAM 身分驗證會使用 政策來控制身分的存取,但根使用者具有完整的 AWS 資源存取,且無法受到身分或資源型IAM政策的限制。
主體

可對 AWS 資源上的動作或操作提出請求的 AWS 帳戶根使用者、IAM使用者或IAM角色。主體包括人類使用者、工作負載、聯合身分使用者和擔任的角色。身分驗證之後, 會根據委託人類型 AWS,IAM授予委託人永久或暫時憑證,以向 提出請求。

人類使用者也稱為人類身分,例如應用程式的人員、管理員、開發人員、運算子和取用者。

工作負載是提供商業價值的資源和程式碼集合,例如應用程式、程序、操作工具和其他元件。

聯合使用者是指身分和憑證由其他身分提供者管理的使用者,例如 Active Directory、Okta 或 Microsoft Entra。

IAM 角色是您可以在帳戶中建立的IAM身分,具有特定許可,可決定身分可以和不可以執行的動作。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。

IAM 會授予IAM使用者和根使用者長期憑證和IAM角色臨時憑證。聯合使用者並在他們登入 時 AWS IAM Identity Center 的使用者 擔任IAM角色 AWS,這會授予他們臨時憑證。作為最佳實務,建議您要求人工使用者和工作負載使用臨時憑證來存取 AWS 資源。

IAM Identity Center 中的IAM使用者與使用者之間的差異

IAM 使用者不是獨立的帳戶,而是您帳戶中的個別使用者。每個使用者都有自己的密碼來存取 AWS Management Console。您也可以為每個使用者建立個別的存取金鑰,讓使用者能利用程式設計方式提出請求,進而能使用您帳戶中的資源。

IAM 使用者及其存取金鑰對您的 AWS 資源具有長期憑證。IAM 使用者的主要用途是讓無法使用IAM角色的工作負載能夠使用 API或 對 AWS 服務提出程式設計請求CLI。

注意

對於需要具有程式設計存取和長期憑證IAM的使用者的情況,我們建議您在需要時更新存取金鑰。如需詳細資訊,請參閱更新存取金鑰

人力身分 (人員) 具有不同的許可需求AWS IAM Identity Center 的使用者,取決於他們所執行的角色,並且可以 AWS 帳戶 跨組織進行各種工作。如果您有需要存取金鑰的使用案例,您可以使用 支援這些使用案例 AWS IAM Identity Center 的使用者。透過 AWS 存取入口網站登入的人員可以取得具有 AWS 資源短期憑證的存取金鑰。對於集中式存取管理,我們建議您使用 AWS IAM Identity Center (IAM Identity Center) 來管理對這些帳戶中帳戶的存取和許可。IAM Identity Center 會自動設定為 Identity Center 目錄作為您的預設身分來源,您可以在其中新增人員和群組,並指派其對 AWS 資源的存取層級。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的什麼是 AWS IAM Identity Center

這兩種類型的使用者的主要區別在於, IAM Identity Center 中的使用者在存取管理主控台或 AWS 資源 AWS 之前,會自動擔任登入 IAM 的角色。IAM 角色會在每次使用者登入 時授予臨時憑證 AWS。若要IAM讓使用者使用IAM角色登入,他們必須擁有擔任和切換角色的許可,而且必須在存取 AWS 帳戶後明確選擇切換至想要擔任的角色。

從現有身分來源聯合使用者

如果組織中的使用者在登入公司網路時已進行身分驗證,則您不需要在 IAM Identity Center 中為他們建立個別IAM使用者或使用者。反之,您可以使用 AWS IAM或 將這些使用者身分聯合到 AWS IAM Identity Center。聯合身分使用者擔任IAM的角色會授予他們存取特定資源的許可。如需角色的詳細資訊,請參閱角色術語和概念

此圖表顯示聯合身分使用者如何取得臨時 AWS 安全憑證,以存取 中的資源 AWS 帳戶。

在這些情況下,聯合很有用:

  • 您的使用者已存在於公司目錄。

    如果您的公司目錄與 Security Assertion Markup Language 2.0 (SAML 2.0) 相容,您可以設定公司目錄 AWS Management Console 為使用者提供 (SSO) 的單一登入存取權。如需詳細資訊,請參閱暫時性憑證的常見案例

    如果您的公司目錄與 SAML 2.0 不相容,您可以建立身分代理程式應用程式, AWS Management Console 為您的使用者提供 (SSO) 的單一登入存取權。如需詳細資訊,請參閱啟用自訂身分識別代理存取主 AWS 控台

    如果您的公司目錄是 Microsoft Active Directory,您可以使用 AWS IAM Identity Center 來連接 Active Directory 中的自我管理目錄或 中的目錄AWS Directory Service,以建立公司目錄與 之間的信任 AWS 帳戶。

    如果您使用 Okta 或 Microsoft Entra 等外部身分提供者 (IdP ) 來管理使用者,您可以使用 AWS IAM Identity Center 來建立 IdP 與 之間的信任 AWS 帳戶。如需詳細資訊,請參閱《AWS IAM Identity Center 使用者指南》 中的 連結至外部身分供應商

  • 您的使用者已經有網際網路身分。

    如果您要建立行動應用程式或 Web 型應用程式,讓使用者透過網際網路身分提供者進行身分識別,例如使用 Amazon、Facebook、Google 或任何 OpenID Connect (OIDC) 相容身分提供者登入,則應用程式可以使用聯合來存取 AWS。如需詳細資訊,請參閱OIDC联邦

    提示

    若要搭配網際網路身分提供者使用聯合身分,建議您使用 Amazon Cognito

提供使用者存取權的不同方法

以下是您可以提供 AWS 資源存取權的方式。

使用者存取類型 何時使用? 哪裡有更多資訊?

人員的單一登入存取權,例如您的人力資源使用者,使用 IAM Identity Center 存取 AWS 資源

IAM Identity Center 提供集中位置,將使用者及其對 AWS 帳戶 和雲端應用程式的存取整合在一起。

您可以在 Identity Center 中設定IAM身分存放區,也可以設定與現有身分提供者 (IdP的聯合。安全最佳實務建議將有限憑證授予人類使用者 AWS 。

人們的登入體驗更輕鬆,而且您可以控制他們從單一系統存取資源。IAM Identity Center 支援多因素身分驗證 (MFA),以提供額外的帳戶安全性。

如需設定 IAM Identity Center 的詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的入門

如需在 IAM Identity Center MFA中使用 的詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的多重要素身分驗證

使用IAM身分提供者 (IdPs) 聯合存取人類使用者的服務 AWS ,例如您的人力資源使用者

IAM 支援 IdPs 與 OpenID Connect (OIDC) 或 SAML 2.0 (安全宣告標記語言 2.0) 相容。建立IAM身分提供者之後,請建立一個或多個角色,這些IAM角色可以動態指派給聯合身分使用者。

如需IAM身分提供者和聯合的詳細資訊,請參閱 身分提供者與聯合

之間的跨帳戶存取 AWS 帳戶

您想要與其他 中的使用者共用特定 AWS 資源的存取權 AWS 帳戶。

角色是授予跨帳戶存取權的主要方式。不過,某些 AWS 服務支援資源型政策,可讓您將政策直接連接至資源 (而不是使用角色作為代理)。

如需IAM角色的詳細資訊,請參閱 IAM 角色

如需服務連結角色的詳細資訊,請參閱建立服務連結角色

如需有關哪些服務支援使用服務連結角色的資訊,請參閱 AWS 使用 的 服務 IAM。在服務連結角色欄中尋找具有 的服務。若要檢視該服務的服務連結角色文件,請選擇該欄中與 Yes (是) 相關聯的連結。

您 中指定IAM使用者的長期憑證 AWS 帳戶

您可能有特定使用案例,需要 中IAM使用者的長期憑證 AWS。您可以使用 在 中IAM建立這些IAM使用者 AWS 帳戶,並使用 IAM 管理其許可。某些使用案例包括下列各項:

  • 無法使用IAM角色的工作負載

  • 需要透過存取金鑰進行程式設計存取的第三方 AWS 用戶端

  • AWS CodeCommit 或 Amazon Keyspaces 的服務特定憑證

  • AWS IAM Identity Center 不適用於您的帳戶,而且您沒有其他身分提供者

在您需要具有程式設計存取和長期憑證IAM的使用者的情況下,作為最佳實務,我們建議您在需要時更新存取金鑰。如需詳細資訊,請參閱更新存取金鑰

如需設定IAM使用者的詳細資訊,請參閱 在 中建立IAM使用者 AWS 帳戶

如需IAM使用者存取金鑰的詳細資訊,請參閱 管理IAM使用者的存取金鑰

如需 AWS CodeCommit 或 Amazon Keyspaces 的服務特定憑證的詳細資訊,請參閱 IAM認證 CodeCommit:Git 憑證、SSH金鑰和 AWS 存取金鑰IAM 搭配 Amazon Keyspaces 使用 (適用於 Apache Cassandra)

支援程式設計使用者存取

如果使用者想要與 AWS 外部互動,則需要程式設計存取權 AWS Management Console。授予程式設計存取權的方式取決於存取 的使用者類型 AWS:

  • 如果您在 IAM Identity Center 中管理身分, AWS APIs需要設定檔,而 AWS Command Line Interface 需要設定檔或環境變數。

  • 如果您有IAM使用者, AWS APIs和 AWS Command Line Interface 需要存取金鑰。如有可能,請建立臨時憑證,其中包含存取金鑰 ID、私密存取金鑰,以及指出憑證何時到期的安全記號。

若要授予使用者程式設計存取權,請選擇下列其中一個選項。

哪個使用者需要程式設計存取權? 選項 其他資訊

人力資源身分

(在 IAM Identity Center 中管理的人員和使用者)

 使用短期憑證簽署 AWS CLI 或 AWS 的程式設計請求 APIs(直接使用 或使用 AWS SDKs)。

對於 AWS CLI,請遵循 AWS IAM Identity Center 使用者指南 中的取得IAM角色憑證以CLI存取 中的指示。

對於 AWS APIs,請遵循 AWS SDKs和 工具參考指南SSO憑證中的指示。
IAM 使用者 使用短期憑證簽署 AWS CLI 或 AWS 的程式設計請求 APIs(直接使用 或使用 AWS SDKs)。 請遵循將臨時憑證與 AWS 資源搭配使用中的指示。
IAM 使用者 使用長期憑證簽署 AWS CLI 或 AWS 的程式設計請求 APIs(直接使用 或使用 AWS SDKs)。

(不建議使用)

 請遵循管理IAM使用者 的存取金鑰中的指示。
聯合使用者 使用 AWS STSAPI操作來建立新的工作階段,其中包含臨時安全憑證,包括存取金鑰對和工作階段權杖。 如需API操作的說明,請參閱 請求臨時安全憑證