本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Cloud Directory 中的 Identity and Access Management
<a name="iam_auth_access"></a>

存取 Amazon Cloud Directory 需要登入資料，以供 AWS 驗證您的請求。這些登入資料必須具備許可，才能存取 AWS 資源。下列區段提供了詳細資訊，說明您可如何使用[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)和 Cloud Directory Directory，藉由控制誰能夠存取各項資源，協助保護您的資源：

 
+ [Authentication](#authentication)
+ [存取控制](#iam_auth_access_accesscontrol)

## Authentication
<a name="authentication"></a>

您可以使用下列任一種身分類型存取 AWS：
+ **AWS 帳戶根使用者** - 當您初建立 AWS 帳戶時，您一開始具有單一的登入身分，可以完整存取帳戶的所有 AWS 服務與資源。此身分稱為 AWS 帳戶「根使用者」**，是藉由您用來建立帳戶的電子郵件地址和密碼以登入並存取。強烈建議您不要以根使用者處理日常作業，即使是管理作業。反之，請遵循[僅以根使用者建立您第一個 &IAM; 使用者的最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)。接著請妥善鎖定根使用者登入資料，只用來執行少數的帳戶與服務管理作業。
+ **IAM 使用者**— 一個[IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是您 AWS 帳戶中的一種身分，擁有特定的自訂許可 (例如，在 Cloud Directory 中建立目錄的許可)。您可以使用 IAM 使用者名稱和密碼登入安全的 AWS 網頁，例如 [AWS 管理主控台](https://console.aws.amazon.com/)、[AWS 開發論壇](https://forums.aws.amazon.com/)或 [AWS 支援中心](https://console.aws.amazon.com/support/home#/)。

   

  除了使用者名稱和密碼之外，您也可以為每個使用者產生[存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。無論是透過[數個軟體開發套件中的一個](https://aws.amazon.com/tools/#sdk)或使用 [AWS 命令列界面 (CLI)](https://aws.amazon.com/cli/)，以程式設計方式存取 AWS 服務時，您都可以使用這些金鑰。此開發套件和 CLI 工具使用存取金鑰，以加密方式簽署您的請求。如果您未使用 AWS 工具，則必須自行簽署請求。Cloud Directory 支援*簽章版本 4*，這是用來驗證傳入 API 請求的協定。如需驗證請求的詳細資訊，請參閱[簽章版本 4 簽署程序](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)中的*AWS 一般參考資料*。

   
+ **IAM 角色** - [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您可以在帳戶中建立的另一種 IAM 身分，具有特定的許可。IAM 角色類似於 IAM 使用者，因為同樣是 AWS 身分，也有許可政策可決定該身分在 AWS 中可執行和不可執行的操作。但是，角色的目的是讓需要它的任何人可代入，而不是單獨地與某個人員關聯。此外，角色沒有與之關聯的標準長期憑證，例如密碼或存取金鑰。反之，當您擔任角色時，其會為您的角色工作階段提供臨時安全性登入資料。使用臨時登入資料的 IAM 角色在下列情況中非常有用：

   
  + **聯合身分使用者存取** - 非建立 IAM 使用者，而是使用來自 AWS Directory Service、您的企業使用者目錄或 Web 身分供應商的現有身分。這些稱為「聯合身分使用者」**。透過[身份供應商](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)請求存取時，AWS 會將角色指派給聯合身份使用者。如需聯合身分使用者的詳細資訊，請參閱[聯合身分使用者和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)中的*IAM 使用者指南*。

     
  + **AWS 服務存取** - 服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)，可代您執行動作。服務角色提供的存取權僅限在您的帳戶內，不能用來授予存取其他帳戶中的服務。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊，請參閱「」[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)中的*IAM 使用者指南*。

      
  + **在 Amazon EC2 上執行的應用程式** - 針對在 EC2 執行個體上執行並提出 AWS CLI 和 AWS API 請求的應用程式，您可以使用 IAM 角色來管理臨時登入資料。這是在 EC2 執行個體內存放存取金鑰的較好方式。若要指派 AWS 角色給 EC2 執行個體並提供其所有應用程式使用，您可以建立連接到執行個體的執行個體描述檔。執行個體描述檔包含該角色，並且可讓 EC2 執行個體上執行的程式取得臨時登入資料。如需詳細資訊，請參閱「」[使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)中的*IAM 使用者指南*。

    

## 存取控制
<a name="iam_auth_access_accesscontrol"></a>

您可以持有效登入資料為自己的要求進行身份驗證，但還須具備許可才能建立或存取 Cloud Directory 資源。例如，您必須具有許可才能建立 Amazon Cloud Directory。

下節說明如何管理 Cloud Directory 的許可。我們建議您先閱讀概觀。

 
+ [管理您的 Cloud Directory 資源存取許可概觀](iam_auth_access_accesscontrol_overview.md)
+  [在 Cloud Directory 使用以身分為基礎的政策 (IAM 政策)](iam_auth_access_accesscontrol_identitybased.md) 
+  [Amazon Cloud Directory 許可：動作、資源和條件參考](iam_auth_access_usingwith_iam_resourcepermissions.md)