我們宣布
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 登入資料
AWS 使用認證來識別誰正在呼叫服務,以及是否允許存取要求的資源。
無論是在網頁瀏覽器或 Node.js 伺服器中執行,您的 JavaScript 程式碼都必須先取得有效的認證,才能透過 API 存取服務。您可以使用 AWS.Config
或依服務,透過將登入資料直接傳遞至服務物件,在組態物件上全域設定登入資料。
有幾種方法可以設置 Node.js 和 Web 瀏覽器之間不同 JavaScript的憑據。本節的主題說明如何在 Node.js 或 Web 瀏覽器設定登入資料。在每個案例中,選項會以建議的順序呈現。
登入資料的最佳實務
適當設定登入資料可確保您的應用程式或瀏覽器指令碼可以存取所需的服務與資源,同時將可能影響關鍵任務應用程式或洩漏敏感資料的安全性問題的接觸降到最低。
在特定登入資料時要套用的重要原則,即是一律授予任務所需的最低權限。提供資源的最低許可並視需要新增進一步許可是較安全的作法,而不是提供超過最低權限的許可,而造成您必須修復在稍後可能發現的安全性問題。例如,除非您需要讀取和寫入個別資源 (例如 Amazon S3 儲存貯體或 DynamoDB 表格中的物件),否則請將這些許可設定為唯讀。
如需授與最低權限的詳細資訊,請參閱 IAM 使用者指南中最佳做法主題的授與最低權限一節。
警告
如果這麼做是可行的,我們建議您不要將登入資料寫死在應用程式或瀏覽器指令碼中。硬式編碼認證會造成暴露敏感資訊的風險。
如需如何管理存取金鑰的詳細資訊,請參閱《管理 AWS 存取金鑰的最佳做法》 AWS 一般參考。