Elige un método para autenticar el código de tu aplicación Métodos de autenticación ID de creador de AWS

Autenticación y acceso: uso AWS SDKs y herramientas

Al desarrollar una aplicación de AWS SDK o utilizar AWS herramientas para utilizarla Servicios de AWS, debe establecer la forma en que se autentica su código o herramienta. AWS Puede configurar el acceso programático a AWS los recursos de diferentes maneras, según el entorno en el que se ejecute el código y el AWS acceso del que disponga.

Las siguientes opciones forman parte de la cadena de proveedores de credenciales. Esto significa que, si configuras tus credentials archivos AWS config y archivos compartidos en consecuencia, el AWS SDK o la herramienta detectarán y utilizarán automáticamente ese método de autenticación.

Elige un método para autenticar el código de tu aplicación

Elige un método para autenticar las llamadas realizadas AWS por la aplicación.

Si el código se ejecuta AWS, las credenciales pueden ponerse automáticamente a disposición de la aplicación. Por ejemplo, si su aplicación está alojada en Amazon Elastic Compute Cloud y hay un rol de IAM asociado a ese recurso, las credenciales estarán disponibles automáticamente para su aplicación. Del mismo modo, si utiliza contenedores Amazon ECS o Amazon EKS, el código que se ejecuta en el contenedor a través de la cadena de proveedores de credenciales del SDK puede obtener automáticamente las credenciales establecidas para la función de IAM.

Uso de funciones de IAM para autenticar las aplicaciones desplegadas en Amazon EC2— Usa las funciones de IAM para ejecutar tu aplicación de forma segura en una EC2 instancia de Amazon.

Lambda crea un rol de ejecución con permisos mínimos al crear una función Lambda. A continuación, el AWS SDK o la herramienta utilizan automáticamente la función de IAM asociada a la Lambda en tiempo de ejecución, a través del entorno de ejecución de Lambda.

Utilice el rol de IAM para la tarea. Debe crear un rol de tarea y especificarlo en la definición de tareas de Amazon ECS. A continuación, el AWS SDK o la herramienta utilizan automáticamente la función de IAM asignada a la tarea en tiempo de ejecución, a través de los metadatos de Amazon ECS.

Le recomendamos que utilice Amazon EKS Pod Identities.

Nota: Si cree que las funciones de IAM para cuentas de servicio (IRSA) podrían adaptarse mejor a sus necesidades específicas, consulte Comparación de EKS Pod Identity e IRSA en la Guía del usuario de Amazon EKS.

Consulte Uso de políticas basadas en la identidad para. CodeBuild

Consulte la guía dedicada a su Servicio de AWS. Cuando ejecutas el código AWS, la cadena de proveedores de credenciales del SDK puede obtener y actualizar automáticamente las credenciales por ti.

Si va a crear aplicaciones móviles o aplicaciones web basadas en clientes a las que es necesario acceder AWS, cree su aplicación de manera que solicite credenciales de AWS seguridad temporales de forma dinámica mediante la federación de identidades web.

Con la federación de identidades web no necesita crear código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. En lugar de ello, los usuarios de la aplicación pueden iniciar sesión con un proveedor de identidades (IdP) externo bien conocido, como Login with Amazon, Facebook, Google o cualquier otro IdP compatible con OpenID Connect (OIDC). Pueden recibir un token de autenticación y, después, cambiarlo por credenciales de seguridad temporales en AWS ese mapa y pasarlo a un rol de IAM con permisos para usar los recursos de su empresa. Cuenta de AWS

Para aprender a configurar esto para su SDK o herramienta, consulte Asumir un rol con identidad web u OpenID Connect para autenticar y herramientas AWS SDKs .

Para aplicaciones móviles, le recomendamos que utilice Amazon Cognito. Amazon Cognito actúa como agente de identidades y realiza gran parte del trabajo de federación por usted. Para obtener más información, consulte Uso de Amazon Cognito para aplicaciones móviles en la Guía del usuario de IAM.

Lo recomendamosUso del Centro de identidades de IAM para autenticar el AWS SDK y las herramientas.

Como práctica recomendada de seguridad, te recomendamos que utilices AWS Organizations IAM Identity Center para gestionar el acceso en todas tus Cuentas de AWS instalaciones. Puede crear usuarios en Microsoft Active Directory AWS IAM Identity Center, usar un proveedor de identidades (IdP) de SAML 2.0 o federar individualmente su IdP a. Cuentas de AWS Para comprobar si su región es compatible con el IAM Identity Center, consulte los puntos de conexión de AWS IAM Identity Center y las cuotas en Referencia general de Amazon Web Services.

(Recomendado) Cree un usuario de IAM con menos privilegios y con permisos para sts:AssumeRole desempeñar su función de destino. A continuación, configure su perfil para que asuma un rol mediante una source_profile configuración para ese usuario.

También puede usar credenciales de IAM temporales a través de variables de entorno o del AWS credentials archivo compartido. Consulte Uso de credenciales a corto plazo para autenticar AWS SDKs y herramientas.

Nota: Solo en entornos sandbox o de aprendizaje, puede considerarlo. Uso de credenciales a largo plazo para autenticar AWS SDKs y herramientas

Sí: consulteUso de funciones de IAM en cualquier lugar para AWS SDKs autenticar y utilizar herramientas. Puede utilizar IAM Roles Anywhere para obtener credenciales de seguridad temporales en IAM para cargas de trabajo como servidores, contenedores y aplicaciones que se ejecutan fuera de ella. AWS Para utilizar IAM Roles Anywhere, sus cargas de trabajo deben utilizar certificados X.509.

Se utiliza Proveedor de credenciales de proceso para recuperar las credenciales automáticamente en tiempo de ejecución. Estos sistemas pueden utilizar una herramienta auxiliar o un complemento para obtener las credenciales y pueden asumir una función de IAM entre bastidores al utilizarlas. sts:AssumeRole

Utilice credenciales temporales inyectadas mediante AWS Secrets Manager. Para ver las opciones para obtener claves de acceso de corta duración, consulte Solicitar credenciales de seguridad temporales en la Guía del usuario de IAM. Para ver las opciones de almacenamiento de estas credenciales temporales, consulte. AWS claves de acceso

Puede usar estas credenciales para recuperar de forma segura permisos de aplicaciones más amplios desde Secrets Manager, donde se pueden almacenar sus secretos de producción o credenciales basadas en roles de larga duración.

Utilice la documentación redactada por su proveedor externo para obtener la mejor orientación sobre la obtención de credenciales.

Sí: utilice variables de entorno y AWS STS credenciales temporales.

No: utilice claves de acceso estáticas almacenadas en el administrador de secretos cifrados (último recurso).

Métodos de autenticación

Métodos de autenticación para el código que se ejecuta en un AWS entorno

Si el código se ejecuta AWS, las credenciales se pueden poner automáticamente a disposición de la aplicación. Por ejemplo, si su aplicación está alojada en Amazon Elastic Compute Cloud y hay un rol de IAM asociado a ese recurso, las credenciales estarán disponibles automáticamente para su aplicación. Del mismo modo, si utiliza contenedores Amazon ECS o Amazon EKS, el código que se ejecuta en el contenedor a través de la cadena de proveedores de credenciales del SDK puede obtener automáticamente las credenciales establecidas para la función de IAM.

Uso de funciones de IAM para autenticar las aplicaciones desplegadas en Amazon EC2— Usa las funciones de IAM para ejecutar tu aplicación de forma segura en una EC2 instancia de Amazon.
Puede interactuar mediante programación mediante el IAM Identity Center de las siguientes maneras: AWS
- Se utiliza AWS CloudShellpara ejecutar AWS CLI comandos desde la consola.
- Si quieres probar un espacio de colaboración basado en la nube para equipos de desarrollo de software, considera usar Amazon CodeCatalyst.

Autenticación a través de un proveedor de identidades basado en web, aplicaciones web móviles o basadas en cliente

Para aprender a configurar esto para su SDK o herramienta, consulte Asumir un rol con identidad web u OpenID Connect para autenticar y herramientas AWS SDKs .

Métodos de autenticación para el código que se ejecuta de forma local (no interna) AWS

Uso del Centro de identidades de IAM para autenticar el AWS SDK y las herramientas— Como práctica recomendada de seguridad, recomendamos utilizarlos AWS Organizations junto con el Centro de Identidad de IAM para gestionar el acceso en todos sus Cuentas de AWS dispositivos. Puede crear usuarios en Microsoft Active Directory AWS IAM Identity Center, usar un proveedor de identidades (IdP) de SAML 2.0 o federar individualmente su IdP a. Cuentas de AWS Para comprobar si su región es compatible con el IAM Identity Center, consulte los puntos de conexión de AWS IAM Identity Center y las cuotas en Referencia general de Amazon Web Services.
Uso de funciones de IAM en cualquier lugar para AWS SDKs autenticar y utilizar herramientas— Puede utilizar IAM Roles Anywhere para obtener credenciales de seguridad temporales en IAM para cargas de trabajo como servidores, contenedores y aplicaciones que se ejecutan fuera de ellas. AWS Para utilizar IAM Roles Anywhere, sus cargas de trabajo deben utilizar certificados X.509.
Asumir un rol con AWS credenciales para autenticarse AWS SDKs y herramientas— Puedes asumir una función de IAM para acceder temporalmente a AWS recursos a los que, de otro modo, no tendrías acceso.
Uso de claves de AWS acceso para autenticar AWS SDKs y herramientas— Otras opciones que podrían resultar menos prácticas o que podrían aumentar el riesgo de seguridad de sus AWS recursos.

Más información sobre la administración de acceso

La guía del usuario de IAM contiene la siguiente información sobre cómo controlar de forma segura el acceso a AWS los recursos:

Identidades de IAM (usuarios, grupos de usuarios y roles): comprenda los conceptos básicos de las identidades en. AWS
Prácticas recomendadas de seguridad en IAM: recomendaciones de seguridad que se deben seguir al desarrollar aplicaciones AWS de acuerdo con el modelo de responsabilidad compartida.

Referencia general de Amazon Web Services tiene los conceptos básicos sobre lo siguiente:

Comprender y obtener sus credenciales de AWS: opciones de claves de acceso y prácticas de gestión tanto para el acceso por consola como programático.

Complemento confiable de propagación de identidades (TIP) de IAM Identity Center al que acceder Servicios de AWS

Uso del complemento TIP para acceder Servicios de AWS— Si está creando una aplicación para Amazon Q Business u otro servicio que permita la propagación de identidades de forma fiable y utiliza el AWS SDK para Java o el AWS SDK para JavaScript, puede utilizar el complemento TIP para disfrutar de una experiencia de autorización simplificada.

ID de creador de AWS

El tuyo ID de creador de AWS complementa cualquier otra que ya Cuentas de AWS tengas o quieras crear. Si bien a Cuenta de AWS actúa como contenedor de los AWS recursos que usted crea y proporciona un límite de seguridad para esos recursos, usted lo ID de creador de AWS representa como individuo. Puedes iniciar sesión con tu cuenta ID de creador de AWS para acceder a herramientas y servicios para desarrolladores, como Amazon Q y Amazon CodeCatalyst.

Inicia ID de creador de AWS sesión con la Guía del AWS Sign-In usuario: aprende a crear y usar una ID de creador de AWS y descubre qué te proporciona el Builder ID.
CodeCatalystconceptos: ID de creador de AWS en la Guía del CodeCatalyst usuario de Amazon: aprenda cómo se CodeCatalyst usa un ID de creador de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Propiedades del sistema JVM

Autenticación del Centro de identidades de IAM