本指南提供了创建新版本的说明AWS 账户并在中设置您的第一个管理用户AWS IAM Identity Center (successor to AWS Single Sign-On)遵循最新的安全最佳实践。
一个AWS 账户需要才能访问AWS 服务并起到两个基本功能的作用:
-
容器— 一个AWS 账户是一个装所有东西的容器AWS你可以创建的资源AWS顾客。当您创建亚马逊简单存储服务 (Amazon S3) 存储桶或亚马逊关系数据库服务 (Amazon RDS) 数据库来存储您的数据,或者创建亚马逊弹性计算云 (Amazon EC2) 实例来处理您的数据时,您正在创建资源在你的账户中。每个资源都由包含或拥有该资源的账户的账户 ID 的 Amazon 资源名称 (ARN) 进行唯一标识。
-
安全边界— 一个AWS 账户是您的基本安全边界AWS资源。您在账户中创建的资源仅供拥有相同账户证书的用户使用。
您可以在账户中创建的关键资源包括身份,例如 IAM 用户和角色以及联合身份,例如来自您的企业用户目录、Web 身份提供商、IAM Identity Center 目录的用户或任何其他访问的用户AWS 服务使用通过身份来源提供的凭证。这些身份具有可供他人登录的凭据,或身份验证到AWS。身份还具有权限策略,用于指定登录者有权对账户中的资源执行什么操作。
-
当你与之互动时AWS,你可以指定你的AWS 安全证书验证您的身份以及您是否有权访问所请求的资源。AWS使用安全证书对请求进行身份验证和授权。
例如,如果要从 Amazon Simple Storage Service (Amazon S3) 存储桶下载受保护的文件,则您的凭证必须允许该访问。如果您的凭证显示您无权下载该文件,AWS拒绝你的请求。但是,在公开共享的 Amazon S3 存储桶中下载文件不需要安全证书。
存在以下类型的用户AWS:根用户,IAM 用户,AWS IAM Identity Center(AWS Single Sign-On 的后继者)中的用户,以及联邦身份。除了各种用户类型外,您还可以使用以下方法访问某些服务和工具AWS生成器 ID。
根用户
root 用户(也称为账户所有者)是在您首次创建时自动创建的AWS 账户。由于根用户证书允许完全访问账户中的所有资源,因此我们建议您通过激活多因素身份验证 (MFA) 并在 IAM Identity Center 中创建管理用户来保护根用户。根用户凭证只能用于执行那些需要 root 用户的任务。
IAM 身份中心中的用户
IAM 身份中心中的用户是可以访问的用户AWS 账户通过登录AWS使用管理员提供的特定 URL 访问门户。使用 IAM 身份中心,用户可以登录AWS访问门户并管理现有的AWS 账户或者添加其他帐户、配置身份提供者并从一个位置管理策略权限集。有关更多信息,请参阅《AWS IAM Identity Center (successor to AWS Single Sign-On) 用户指南》中的什么是 AWS IAM Identity Center (successor to AWS Single Sign-On)。
联合身份
联合用户是在外部创建和验证的身份AWS。外部身份可能来自公司身份存储(如 LDAP 或 Windows Active Directory)或第三方(如 Login with Amazon、Facebook 或 Google)。联合身份不使用登录AWS Management Console要么AWS访问门户。使用的外部身份类型决定了联合身份的登录方式。
IAM 用户和角色
IAM 用户是您体内的一个身份AWS 账户对单个人或应用程序具有特定权限。在可能的情况下,我们建议使用临时凭证,而不是创建具有长期凭证(如密码和访问密钥)的 IAM 用户。但是,如果您有一些特定的使用场景需要长期凭证以及 IAM 用户,我们建议您轮换访问密钥。
AWS Builder ID
一个AWSBuilder ID 是一个代表个人的个人资料,其基础是构建AWS。一个AWSBuilder ID 允许您访问以下工具和服务AWS生成器 ID。你的AWS生成器 ID 与其他 ID 是分开的AWS 账户和安全证书。
1597
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
