AWS控制中心內的身分識別與存取管理 - AWS Control Tower
身分驗證存取控制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS控制中心內的身分識別與存取管理

若要在您的 landing zone 域執行任何作業,例如在 Account Factory 中佈建帳戶,或在 Con AWS trol Tower 主控台中建立新的組織單位 (OUs) AWS Identity and Access Management (IAM) 或 AWS IAM Identity Center 要求您驗證您已獲得批准 AWS 使用者。例如,如果您使用 Con AWS trol Tower 主控台,您可以提供您的身分來驗證您的身分 AWS 認證,由您的管理員提供。

驗證身分後,請IAM控制您的存取權 AWS 具有一組已定義的一組特定作業和資源的權限。如果您是帳戶管理員,則可以用IAM來控制其他使用IAM者對與您帳戶相關聯之資源的存取權。

主題

身分驗證

您可以存取 AWS 作為以下任何類型的身份:

  • AWS 帳號根使用者 — 當您第一次建立 AWS 帳戶,您從具有完全訪問所有人的身份開始 AWS 帳戶中的服務和資源。這個身份被稱為 AWS 帳號根使用者。當您使用建立帳戶時使用的電子郵件地址和密碼登入時,您就可以存取此身分。強烈建議您不要以根使用者處理日常作業,即使是管理作業。相反地,請遵循使用 root 使用者的最佳做法,僅建立您的第一個 IAM Identity Center 使用者 (建議使用者) 或使用IAM者 (在大多數使用案例中不是最佳作法)。接著請妥善鎖定根使用者憑證,只用來執行少數的帳戶與服務管理任務。如需詳細資訊,請參閱何時以根使用者身分登入

  • IAM用戶-用IAM戶是您的身份 AWS 具有特定自訂權限的帳戶。您可以使用用IAM戶憑據登錄以保護 AWS 網頁,例如 AWS 管理主控台、 AWS 討論區,或 AWS Support 中心。 AWS 最佳作法建議您建立 IAM Identity Center 使用者而非IAM使用者,因為建立具有長期認證的IAM使用者時,會有較多的安全風險。

    如果您必須基於特定目的建立IAM使用者,除了登入認證外,您還可以為每個IAM使用者產生存取金鑰。您可以在撥打電話時使用這些按鍵 AWS 以編程方式提供服務,無論是通過以下服務之一SDKs或使用 AWS 命令行界面(CLI)。SDK和工CLI具使用存取金鑰來加密簽署您的要求。如果你不使用 AWS 工具,您必須自己簽署請求。AWSControl Tower 支援簽章版本 4,這是一種驗證輸入API要求的通訊協定。如需有關驗證要求的詳細資訊,請參閱中的簽章版本 4 簽署程序 AWS 一般參考。

  • IAMrole — 角IAM是您可以在具有特定權限的帳戶中建立的IAM身分。IAM角色與IAM使用者類似,因為它是 AWS 身分識別,並具有決定身分識別可以執行和不可執行的權限原則 AWS。 但是,角色並非與一個人唯一關聯,而是為了讓任何需要角色的人保證。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。IAM具有臨時認證的角色在下列情況下很有用:

    • 聯合使用者存取 — 您可以使用現有的身分,而不是建立使用IAM者 AWS Directory Service、您的企業使用者目錄或 Web 身分識別提供者。這些稱為「聯合身分使用者」。 AWS 透過身分識別提供者要求存取時,會將角色指派給聯合身分使用者。如需有關聯合使用者的詳細資訊,請參閱《使用者指南》中的「同盟使用IAM者和角色」。

    • AWS 服務存取 — 服務角色是指服務代表您在帳戶中執行動作所IAM扮演的角色。當你設置一些 AWS 服務環境中,您必須為服務定義要承擔的角色。此服務角色必須包含服務存取 AWS 它需要的資源。各個服務的服務角色不同,但許多都可讓您選擇許可,只要您符合該服務所記錄的需求。服務角色提供的存取權僅限在您的帳戶內,不能用來授予存取其他帳戶中的服務。您可以從中建立、修改和刪除服務角色IAM。例如,您可以建立一個角色,允許 Amazon RedShift 代表您存取 Amazon S3 儲存貯體,然後將該儲存貯體中的資料載入到 Amazon RedShift 叢集。如需詳細資訊,請參閱建立角色以將權限委派給 AWS《IAM使用者指南》中的服務。

    • 在 Amazon 上執行的應用程式 EC2 — 您可以使用IAM角色來管理在 Amazon 執行個體上EC2執行並製作的應用程式的臨時登入資料 AWS CLI或 AWS API請求。這比在 Amazon EC2 執行個體中存放存取金鑰更可取。若要指派 AWS Amazon EC2 執行個體的角色並將其提供給其所有應用程式,您可以建立連接到執行個體的執行個體設定檔。執行個體設定檔包含角色,可讓 Amazon EC2 執行個體上執行的程式取得臨時登入資料。如需詳細資訊,請參閱使用者指南中的使用IAM角色將許可授與在 Amazon EC2 執行個體上執行的應IAM程式。

  • IAM身分識別中心使用者對IAM身分識別中心使用者入口網站的驗證是由您連線至IAM身分識別中心的目錄所控制。但是,授權 AWS 使用者入口網站內可供使用者使用的帳戶是由兩個因素決定:

    • 誰被指派存取權給這些人 AWS 中的帳戶 AWS IAM識別中心主控台。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南

    • 什麼級別的權限已被授予的最終用戶 AWS IAM身分識別中心主控台可讓他們適當存取這些主控台 AWS 帳戶。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南

存取控制

建立、更新、刪除或列出 AWS Control Tower 資源或其他 AWS 您的 landing zone 中的資源,您需要執行操作的權限,並且需要訪問相應資源的權限。此外,若要以程式設計方式執行操作,您需要有效的存取金鑰。

以下各節說明如何管理 AWS Control Tower 的權限:

主題