本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的身分和存取管理 AWS Data Exchange
若要在 中執行任何操作 AWS Data Exchange,例如使用 建立匯入任務 AWS SDK,或在 AWS Data Exchange 主控台中訂閱產品, AWS Identity and Access Management (IAM) 會要求您驗證您是核准的 AWS 使用者。例如,如果您使用的是 AWS Data Exchange 主控台,您可以提供 AWS 登入憑證來驗證您的身分。
驗證您的身分後, AWS 會使用一組已定義的許可來IAM控制您對 的存取,這些許可適用於一組操作和資源。如果您是帳戶管理員,您可以使用 IAM 控制其他使用者對與您帳戶相關聯資源的存取。
身分驗證
您可以使用下列任一類型的身分 AWS 來存取 :
-
AWS 帳戶 根使用者 – 當您建立 時 AWS 帳戶,您會從一個登入身分開始,該身分可完整存取 帳戶中的所有 AWS 服務 和資源。此身分稱為 AWS 帳戶 Theroot 使用者,可透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需需要您以根使用者身分登入的任務完整清單,請參閱IAM《 使用者指南》中的需要根使用者憑證的任務。
-
使用者 – 使用者是 中具有特定自訂許可 AWS 帳戶 的身分。您可以使用您的IAM登入資料登入,以保護 AWS Management Console 或 AWS Support 中心等 AWS 網頁。
-
IAM 角色 – IAM角色是您可以在帳戶中建立且具有特定許可的IAM身分。IAM 角色與 IAM中的使用者類似,因為它是具有許可政策的 AWS 身分,可決定身分可以和不可以執行的操作 AWS。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。在下列情況中,具有臨時登入資料的角色非常有用:
-
聯合使用者存取 – 您可以使用來自 AWS Directory Service企業使用者目錄或 Web 身分提供者的現有身分,而不是建立使用者。這些稱為聯合身分使用者。當透過身分提供者請求存取時, 會將角色 AWS 指派給聯合身分使用者。如需聯合身分使用者的詳細資訊,請參閱聯合身分使用者和角色。
-
AWS 服務 存取 – 服務角色是服務擔任IAM的角色,以代表您在帳戶中執行動作。當您設定某些 AWS 服務 環境時,您必須定義要擔任服務的角色。此服務角色必須包含服務存取所需 AWS 資源所需的所有許可。各個服務的服務角色不同,但許多都可讓您選擇許可,只要您符合該服務所記錄的需求。服務角色提供的存取權僅限在您的帳戶內,不能用來授予存取其他帳戶中的服務。您可以從 IAM 內建立、修改和刪除服務角色。例如,您可以建立一個角色,允許 Amazon RedShift 代表您存取 Amazon S3 儲存貯體,然後將該儲存貯體中的資料載入到 Amazon RedShift 叢集。如需詳細資訊,請參閱建立角色以委派許可給 AWS 服務。
-
在 Amazon 上執行的應用程式 EC2 – 您可以使用 IAM角色來管理在 Amazon EC2執行個體上執行之應用程式的臨時登入資料,以及提出 AWS CLI 或 AWS API請求。最好將存取金鑰存放在 Amazon EC2執行個體中。若要將 AWS 角色指派給 Amazon EC2執行個體並將其提供給其所有應用程式,您可以建立連接至執行個體的執行個體設定檔。執行個體描述檔包含 角色,並可讓在 Amazon EC2執行個體上執行的程式取得臨時登入資料。如需詳細資訊,請參閱使用 IAM角色將許可授予在 Amazon EC2執行個體上執行的應用程式。
-
