本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
全域驗證 AWS SDKs和工具
當您開發 AWS SDK 應用程式或使用 AWS 工具來使用 時 AWS 服務,您必須建立程式碼或工具的身分驗證方式 AWS。您可以根據程式碼執行的環境和您可用的存取權,以不同的方式設定 AWS 資源的程式設計 AWS 存取。
在本機執行之程式碼的身分驗證選項 (不在 中 AWS)
-
使用 IAM Identity Center 驗證 AWS SDK 和工具 – 作為安全最佳實務,我們建議您使用 AWS Organizations 搭配 IAM Identity Center 來管理所有 的存取 AWS 帳戶。您可以在 中建立使用者 AWS IAM Identity Center、使用 Microsoft Active Directory、使用 SAML 2.0 身分提供者 (IdP),或個別聯合您的 IdP AWS 帳戶。若要檢查您的區域是否支援 IAM Identity Center,請參閱 中的AWS IAM Identity Center 端點和配額Amazon Web Services 一般參考。
-
使用 IAM Roles Anywhere 驗證 AWS SDKs和工具 – 您可以使用 IAM Roles Anywhere 在 IAM 中取得臨時安全登入資料,例如在 外部執行的伺服器、容器和應用程式 AWS。若要使用 IAM Roles Anywhere,您的工作負載必須使用 X.509 憑證。
-
使用 AWS 登入資料來擔任角色,以驗證 AWS SDKs和工具 – 您可以擔任 IAM 角色來暫時存取您可能無法存取 AWS 的資源。
-
使用 AWS 存取金鑰來驗證 AWS SDKs和工具 – 可能較不方便或可能增加 AWS 資源安全風險的其他選項。
在 AWS 環境中執行之程式碼的身分驗證選項
如果您的程式碼在 上執行 AWS,登入資料可以自動提供給應用程式。例如,如果您的應用程式託管在 Amazon Elastic Compute Cloud 上,並且有與該資源相關聯的 IAM 角色,則登入資料會自動提供給應用程式。同樣地,如果您使用 Amazon ECS 或 Amazon EKS 容器,IAM 角色的登入資料集可以透過 SDK 的登入資料提供者鏈,由容器內執行的程式碼自動取得。
-
使用 IAM 角色來驗證部署到 Amazon EC2 的應用程式 – 使用 IAM 角色在 Amazon EC2 執行個體上安全地執行應用程式。
-
您可以使用 IAM Identity Center 以程式設計方式與 AWS 互動,方法如下:
-
AWS CloudShell 使用 從主控台執行 AWS CLI 命令。
-
若要為軟體開發團隊嘗試雲端協作空間,請考慮使用 Amazon CodeCatalyst。
-
透過 Web 型身分提供者進行身分驗證 - 行動或用戶端型 Web 應用程式
如果您要建立需要存取的行動應用程式或用戶端型 Web 應用程式 AWS,請建置您的應用程式,以便使用 Web 身分聯合動態請求臨時 AWS 安全憑證。
有了 Web 聯合身分,您就不需要建立自訂登入代碼,或管理您自己的使用者身分。反之,應用程式使用者可以使用知名的外部身分提供者 (IdP) 登入,例如 Login with Amazon、Facebook、Google 或任何其他與 OpenID Connect (OIDC) 相容的 IdP。他們可以接收身分驗證字符,然後交換 AWS 該字符,以取得該字符中的臨時安全憑證,並映射到具有許可的 IAM 角色,以使用您 中的資源 AWS 帳戶。
若要了解如何為您的 SDK 或工具設定此項目,請參閱 使用 Web 身分或 OpenID Connect 擔任角色以驗證 AWS SDKs和工具。
對於行動應用程式,請考慮使用 Amazon Cognito。Amazon Cognito 充當身分代理程式,並為您執行大部分聯合工作。如需詳細資訊,請參閱《IAM 使用者指南》中的將 Amazon Cognito 用於行動應用程式。
有關存取管理的詳細資訊
IAM 使用者指南提供下列有關安全控制 AWS 資源存取的資訊:
-
IAM 身分 (使用者、使用者群組和角色) – 了解 中身分的基本概念 AWS。
-
IAM 中的安全最佳實務 – 根據共同責任模型
開發 AWS 應用程式時應遵循的安全建議。
Amazon Web Services 一般參考 具有下列基本概念:
-
了解並取得您的 AWS 登入資料 – 存取主控台和程式設計存取的金鑰選項和管理實務。
AWS 建構家 ID
您的 AWS 建構家 ID 補充 AWS 帳戶 您可能已經擁有或想要建立的任何 。雖然 AWS 帳戶 充當您建立 AWS 之資源的容器,並為這些資源提供安全界限,但您的 AWS 建構家 ID 代表您做為個人。您可以使用 登入 AWS 建構家 ID ,以存取開發人員工具和服務,例如 Amazon Q 和 Amazon CodeCatalyst。
-
AWS 登入 使用 使用者指南中的 登入 AWS 建構家 ID :了解如何建立和使用 AWS 建構家 ID ,並了解 Builder ID 提供的內容。
-
CodeCatalyst 概念 - AWS 建構家 ID 在 Amazon CodeCatalyst 使用者指南中 - 了解 CodeCatalyst 如何使用 AWS 建構家 ID。