Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autenticación y acceso: uso AWS SDKs y herramientas
Al desarrollar una aplicación AWS del SDK o utilizar AWS herramientas para utilizarla Servicios de AWS, debe establecer la forma en que se autentica su código o herramienta. AWS Puede configurar el acceso programático a AWS los recursos de diferentes maneras, según el entorno en el que se ejecute el código y el AWS acceso del que disponga.
Las siguientes opciones forman parte de la cadena de proveedores de credenciales. Esto significa que, al configurar credentials los archivos AWS config y recursos compartidos en consecuencia, el AWS SDK o la herramienta detectarán y utilizarán automáticamente ese método de autenticación.
Elección de un método para autenticar el código de aplicación
Elige un método para autenticar las llamadas realizadas AWS por tu aplicación.
Si el código se ejecuta AWS, las credenciales estarán disponibles automáticamente en la aplicación. Por ejemplo, si su aplicación está alojada en Amazon Elastic Compute Cloud y hay un rol de IAM asociado a ese recurso, las credenciales estarán disponibles automáticamente para su aplicación. Del mismo modo, si utiliza contenedores de Amazon ECS o Amazon EKS, el código que se ejecuta en el contenedor a través de la cadena de proveedores de credenciales del SDK puede obtener automáticamente las credenciales establecidas para el rol de IAM.
Uso de roles de IAM para autenticar las aplicaciones implementadas en Amazon EC2— Usa las funciones de IAM para ejecutar tu aplicación de forma segura en una EC2 instancia de Amazon.
Lambda crea un rol de ejecución con permisos mínimos al crear una función de Lambda. A continuación, el AWS SDK o la herramienta utilizan automáticamente la función de IAM asociada a la Lambda en tiempo de ejecución, a través del entorno de ejecución de Lambda.
Roles de IAM para la tarea. Debe crear un rol de tarea y especificarlo en la definición de tareas de Amazon ECS. A continuación, el SDK o la herramienta de AWS utilizan automáticamente el rol de IAM asignado a la tarea en tiempo de ejecución, a través de los metadatos de Amazon ECS.
Le recomendamos que utilice Amazon EKS Pod Identities.
Nota: Si cree que los roles de IAM para cuentas de servicio (IRSA) podrían adaptarse mejor a sus necesidades específicas, consulte Comparación de Pod Identity de EKS e IRSA en la Guía del usuario de Amazon EKS.
Consulte Uso de políticas basadas en la identidad para. CodeBuild
Consulte la guía dedicada a su Servicio de AWS. Cuando ejecutas código AWS, la cadena de proveedores de credenciales del SDK puede obtener y actualizar automáticamente las credenciales por ti.
Si va a crear aplicaciones móviles o aplicaciones web basadas en clientes a las que es necesario acceder AWS, cree su aplicación de manera que solicite credenciales de AWS seguridad temporales de forma dinámica mediante la federación de identidades web.
Con la federación de identidades web no necesita crear código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. En lugar de ello, los usuarios de la aplicación pueden iniciar sesión con un proveedor de identidades (IdP) externo bien conocido, como Login with Amazon, Facebook, Google o cualquier otro IdP compatible con OpenID Connect (OIDC). Pueden recibir un token de autenticación y, después, cambiarlo por credenciales de seguridad temporales en AWS ese mapa por un rol de IAM con permisos para usar los recursos de su empresa. Cuenta de AWS
Para aprender a configurar esto para su SDK o herramienta, consulte Asumir un rol con identidad web u OpenID Connect para autenticar los SDK y las herramientas de AWS.
Para aplicaciones móviles, le recomendamos que utilice Amazon Cognito. Amazon Cognito actúa como agente de identidades y realiza gran parte del trabajo de federación por usted. Para obtener más información, consulte Uso de Amazon Cognito para aplicaciones móviles en la Guía del usuario de IAM.
Lo recomendamosUso de credenciales de consola para autenticar AWS SDKs y herramientas .
Tras un flujo de autenticación rápido basado en el navegador, genera AWS automáticamente credenciales temporales que funcionan en todas las herramientas de desarrollo locales, como la AWS CLI y Herramientas de AWS para PowerShell . AWS SDKs
Utilice el Centro de identidades de IAM para autenticar el AWS SDK y las herramientas si ya tiene acceso a AWS las cuentas que and/or necesita para gestionar el acceso de sus empleados. Como práctica recomendada de seguridad, te recomendamos que utilices AWS Organizations el IAM Identity Center para gestionar el acceso a todas tus cuentas. AWS Puede crear usuarios en el Centro de identidades de IAM, usar Microsoft Active Directory, usar un proveedor de identidades (IdP) SAML 2.0 o federar individualmente su IdP en cuentas. AWS Para comprobar si su región es compatible con el Centro de Identidad de IAM, consulte los puntos de enlace y las cuotas del Centro de Identidad de Uso del Centro de identidades de IAM para autenticar el AWS SDK y las herramientas IAM en la Referencia general de Amazon Web Services.
Cree un usuario de IAM con menos privilegios con permisos para sts:AssumeRole desempeñar su función de destino. A continuación, configure su perfil para que asuma un rol mediante una source_profile configuración para ese usuario.
También puede usar credenciales de IAM temporales a través de variables de entorno o del archivo de AWS credenciales compartido. Consulte Uso de credenciales de corta duración para autenticar AWS SDKs y utilizar herramientas.
Nota: Solo en entornos aislados o de aprendizaje, puede considerar la posibilidad de utilizar credenciales de larga duración para AWS SDKs autenticar y utilizar herramientas.
Sí, consulte Uso de IAM Roles Anywhere para autenticar los SDK y las herramientas de AWS.. Puede usar IAM Roles Anywhere para obtener credenciales de seguridad temporales en IAM para cargas de trabajo como servidores, contenedores y aplicaciones que se ejecutan fuera de ellos. AWS Para utilizar IAM Roles Anywhere, sus cargas de trabajo deben utilizar certificados X.509.
Se utiliza Proveedor de credenciales de proceso para recuperar las credenciales automáticamente en tiempo de ejecución. Estos sistemas pueden utilizar una herramienta auxiliar o un complemento para obtener las credenciales y pueden asumir un rol de IAM entre bastidores al utilizar sts:AssumeRole.
Utilice credenciales temporales inyectadas mediante AWS Secrets Manager. Para ver las opciones para obtener claves de acceso de corta duración, consulte Solicitud de credenciales de seguridad temporales en la Guía del usuario de IAM. Para ver las opciones de almacenamiento de estas credenciales temporales, consulte Claves de acceso de AWS.
Puede usar estas credenciales para recuperar de forma segura permisos de aplicaciones más amplios desde Secrets Manager, donde se pueden almacenar los secretos de producción o credenciales basadas en roles de larga duración.
Utilice la documentación redactada por su proveedor externo para obtener la mejor orientación sobre la obtención de credenciales.
Sí: utilice variables de entorno y AWS STS credenciales temporales.
No: utilice claves de acceso estáticas almacenadas en el administrador de secretos cifrados (último recurso).
Métodos de autenticación
Métodos de autenticación para el código que se ejecuta en un AWS entorno
Si el código se ejecuta AWS, las credenciales se pueden poner automáticamente a disposición de la aplicación. Por ejemplo, si su aplicación está alojada en Amazon Elastic Compute Cloud y hay un rol de IAM asociado a ese recurso, las credenciales estarán disponibles automáticamente para su aplicación. Del mismo modo, si utiliza contenedores de Amazon ECS o Amazon EKS, el código que se ejecuta en el contenedor a través de la cadena de proveedores de credenciales del SDK puede obtener automáticamente las credenciales establecidas para el rol de IAM.
-
Uso de roles de IAM para autenticar las aplicaciones implementadas en Amazon EC2— Usa las funciones de IAM para ejecutar tu aplicación de forma segura en una EC2 instancia de Amazon.
-
Puede interactuar mediante programación mediante el IAM Identity Center de las siguientes maneras: AWS
-
Se utiliza AWS CloudShellpara ejecutar AWS CLI comandos desde la consola.
-
Si quieres probar un espacio de colaboración basado en la nube para equipos de desarrollo de software, considera usar Amazon CodeCatalyst.
-
Autenticación a través de un proveedor de identidades basado en web, aplicaciones web móviles o basadas en cliente
Si va a crear aplicaciones móviles o aplicaciones web basadas en clientes a las que es necesario acceder AWS, cree su aplicación de manera que solicite credenciales de AWS seguridad temporales de forma dinámica mediante la federación de identidades web.
Con la federación de identidades web no necesita crear código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. En lugar de ello, los usuarios de la aplicación pueden iniciar sesión con un proveedor de identidades (IdP) externo bien conocido, como Login with Amazon, Facebook, Google o cualquier otro IdP compatible con OpenID Connect (OIDC). Pueden recibir un token de autenticación y, después, cambiarlo por credenciales de seguridad temporales en AWS ese mapa por un rol de IAM con permisos para usar los recursos de su empresa. Cuenta de AWS
Para aprender a configurar esto para su SDK o herramienta, consulte Asumir un rol con identidad web u OpenID Connect para autenticar los SDK y las herramientas de AWS.
Para aplicaciones móviles, le recomendamos que utilice Amazon Cognito. Amazon Cognito actúa como agente de identidades y realiza gran parte del trabajo de federación por usted. Para obtener más información, consulte Uso de Amazon Cognito para aplicaciones móviles en la Guía del usuario de IAM.
Métodos de autenticación para el código que se ejecuta de forma local (no interna en AWS)
-
Uso de credenciales de consola para autenticar AWS SDKs y herramientas — Esta función funciona tanto con la interfaz de línea de AWS comandos como con las herramientas PowerShell y le proporciona credenciales actualizables que funcionan en todas las herramientas de desarrollo local, como la AWS CLI, las herramientas para PowerShell y. AWS
-
Uso del Centro de identidades de IAM para autenticar el AWS SDK y las herramientas— Como práctica recomendada de seguridad, le recomendamos que la utilice AWS Organizations junto con IAM Identity Center para gestionar el acceso en todas sus instalaciones. Cuentas de AWS Puede crear usuarios en Microsoft Active Directory AWS IAM Identity Center, usar un proveedor de identidades (IdP) de SAML 2.0 o federar individualmente su IdP a. Cuentas de AWS Para comprobar si su región es compatible con el IAM Identity Center, consulte los puntos de conexión de AWS IAM Identity Center y las cuotas en Referencia general de Amazon Web Services.
-
Uso de IAM Roles Anywhere para autenticar los SDK y las herramientas de AWS.— Puede utilizar IAM Roles Anywhere para obtener credenciales de seguridad temporales en IAM para cargas de trabajo como servidores, contenedores y aplicaciones que se ejecutan fuera de ellas. AWS Para utilizar IAM Roles Anywhere, sus cargas de trabajo deben utilizar certificados X.509.
-
Asumir un rol con credenciales de AWS para autenticar los SDK y las herramientas de AWS— Puedes asumir una función de IAM para acceder temporalmente a AWS recursos a los que, de otro modo, no tendrías acceso.
-
Uso de claves de acceso AWS para autenticar los SDK y las herramientas de AWS— Otras opciones que podrían resultar menos prácticas o que podrían aumentar el riesgo de seguridad de sus AWS recursos.
Más información sobre la administración de acceso
La guía del usuario de IAM contiene la siguiente información sobre el control seguro del acceso a AWS los recursos:
-
Identidades de IAM (usuarios, grupos de usuarios y roles): comprenda los conceptos básicos de las identidades en. AWS
-
Prácticas recomendadas de seguridad en IAM: recomendaciones de seguridad que se deben seguir al desarrollar aplicaciones AWS de acuerdo con el modelo de responsabilidad compartida
.
Referencia general de Amazon Web Services tiene los conceptos básicos sobre lo siguiente:
-
Comprender y obtener sus credenciales de AWS: opciones de claves de acceso y prácticas de gestión tanto para el acceso por consola como programático.
Complemento de propagación de identidades de confianza (TIP) de IAM Identity Center para acceder a Servicios de AWS
-
Uso del complemento TIP para acceder a los Servicios de AWS— Si está creando una aplicación para Amazon Q Business u otro servicio que permita la propagación de identidades de forma fiable y utiliza el AWS SDK para Java o el AWS SDK para JavaScript, puede utilizar el complemento TIP para disfrutar de una experiencia de autorización simplificada.
ID de creador de AWS
El tuyo ID de creador de AWS complementa cualquier otra que ya Cuentas de AWS tengas o quieras crear. Si bien a Cuenta de AWS actúa como contenedor de los AWS recursos que usted crea y proporciona un límite de seguridad para esos recursos, usted lo ID de creador de AWS representa como individuo. Puedes iniciar sesión con tu cuenta ID de creador de AWS para acceder a herramientas y servicios para desarrolladores, como Amazon Q y Amazon CodeCatalyst.
-
Inicia ID de creador de AWS sesión con la Guía del AWS Sign-In usuario: aprende a crear y usar una ID de creador de AWS y descubre qué proporciona el Builder ID.
-
CodeCatalystconceptos: ID de creador de AWS en la Guía del CodeCatalyst usuario de Amazon: aprenda cómo se CodeCatalyst usa un ID de creador de AWS.
