Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autenticazione e accesso tramite strumenti AWS SDKs e
Quando sviluppi un'applicazione AWS SDK o utilizzi AWS strumenti da utilizzare Servizi AWS, devi stabilire con che modo il codice o lo strumento si autentica. AWS Puoi configurare l'accesso programmatico alle AWS risorse in diversi modi, a seconda dell'ambiente in cui viene eseguito il codice e dell' AWS accesso a tua disposizione.
Le opzioni seguenti fanno parte della catena di fornitori di credenziali. Ciò significa che, configurando credentials i file condivisi AWS config e quelli condivisi di conseguenza, l' AWS SDK o lo strumento individueranno e utilizzeranno automaticamente quel metodo di autenticazione.
Scegli un metodo per autenticare il codice dell'applicazione
Scegli un metodo per autenticare le chiamate effettuate AWS dall'applicazione.
Se il codice continua a funzionare AWS, le credenziali possono essere rese automaticamente disponibili all'applicazione. Ad esempio, se l'applicazione è ospitata su Amazon Elastic Compute Cloud e a tale risorsa è associato un ruolo IAM, le credenziali vengono automaticamente rese disponibili all'applicazione. Allo stesso modo, se utilizzi contenitori Amazon ECS o Amazon EKS, le credenziali impostate per il ruolo IAM possono essere ottenute automaticamente dal codice in esecuzione all'interno del contenitore tramite la catena di provider di credenziali dell'SDK.
Utilizzo dei ruoli IAM per autenticare le applicazioni distribuite su Amazon EC2— Usa i ruoli IAM per eseguire in modo sicuro la tua applicazione su un' EC2istanza Amazon.
Lambda crea un ruolo di esecuzione con autorizzazioni minime quando crei una funzione Lambda. L' AWS SDK o lo strumento utilizza quindi automaticamente il ruolo IAM collegato a Lambda in fase di esecuzione, tramite l'ambiente di esecuzione Lambda.
Usa IAM Role for Task. È necessario creare un ruolo di attività e specificare tale ruolo nella definizione dell'attività di Amazon ECS. L' AWS SDK o lo strumento utilizza quindi automaticamente il ruolo IAM assegnato all'attività in fase di esecuzione, tramite i metadati Amazon ECS.
Ti consigliamo di utilizzare Amazon EKS Pod Identities.
Nota: se ritieni che IAM roles for service accounts (IRSA) possa soddisfare meglio le tue esigenze specifiche, consulta la sezione Confronto tra EKS Pod Identity e IRSA nella Amazon EKS User Guide.
Vedi Utilizzo di politiche basate sull'identità per. CodeBuild
Consulta la guida dedicata per il tuo Servizio AWS. Quando esegui il codice AWS, la catena di fornitori di credenziali SDK può ottenere e aggiornare automaticamente le credenziali per te.
Se stai creando applicazioni mobili o applicazioni web basate su client che richiedono l'accesso a AWS, crea la tua app in modo che richieda le credenziali di AWS sicurezza temporanee in modo dinamico utilizzando la federazione delle identità web.
Con la federazione delle identità Web, non è necessario creare il codice di accesso personalizzato o gestire le identità utente personalizzate. Gli utenti dell'app possono invece accedere utilizzando un provider di identità (IdP) esterno noto, come Login with Amazon, Facebook, Google o qualsiasi altro IdP compatibile con OpenID Connect (OIDC). Possono ricevere un token di autenticazione e quindi scambiarlo con credenziali di sicurezza temporanee in AWS quella mappa con un ruolo IAM con le autorizzazioni per utilizzare le risorse dell'utente. Account AWS
Per informazioni su come configurarlo per il tuo SDK o il tuo strumento, consulta. Assumere un ruolo con web identity o OpenID Connect per l'autenticazione e AWS SDKs gli strumenti
Per le applicazioni mobili, prendi in considerazione l'utilizzo di Amazon Cognito. Amazon Cognito funge da broker di identità e svolge gran parte del lavoro federativo per te. Per ulteriori informazioni, consulta Using Amazon Cognito per app mobili nella IAM User Guide.
ConsigliamoUtilizzo di IAM Identity Center per autenticare AWS SDK e strumenti.
Come best practice di sicurezza, ti consigliamo di utilizzare AWS Organizations IAM Identity Center per gestire l'accesso su tutti i tuoi Account AWS. Puoi creare utenti in AWS IAM Identity Center, utilizzare Microsoft Active Directory, utilizzare un provider di identità (IdP) SAML 2.0 o federare individualmente il tuo IdP in. Account AWS Per verificare se la tua regione supporta IAM Identity Center, consulta gli AWS IAM Identity Center endpoint e le quote nel. Riferimenti generali di Amazon Web Services
(Consigliato) Crea un utente IAM con i privilegi minimi con le autorizzazioni per accedere al sts:AssumeRole tuo ruolo di destinazione. Quindi configura il tuo profilo per assumere un ruolo utilizzando una source_profile configurazione per quell'utente.
Puoi anche utilizzare credenziali IAM temporanee tramite variabili di ambiente o il AWS credentials file condiviso. Per informazioni, consulta Utilizzo di credenziali a breve termine per l'autenticazione AWS SDKs e gli strumenti.
Nota: puoi prendere in considerazione solo nella sandbox o negli ambienti di apprendimento. Utilizzo di credenziali a lungo termine per l'autenticazione AWS SDKs e gli strumenti
Sì: vedi. Utilizzo di IAM Roles Anywhere per l'autenticazione AWS SDKs e gli strumenti Puoi utilizzare IAM Roles Anywhere per ottenere credenziali di sicurezza temporanee in IAM per carichi di lavoro come server, contenitori e applicazioni eseguiti all'esterno di. AWS Per utilizzare IAM Roles Anywhere, i carichi di lavoro devono utilizzare certificati X.509.
Utilizzato Provider di credenziali di processo per recuperare automaticamente le credenziali in fase di esecuzione. Questi sistemi potrebbero utilizzare uno strumento di supporto o un plug-in per ottenere le credenziali e potrebbero assumere un ruolo IAM dietro le quinte utilizzando. sts:AssumeRole
Utilizza credenziali temporanee iniettate tramite. AWS Secrets ManagerPer le opzioni per ottenere chiavi di accesso di breve durata, consulta Richiedere credenziali di sicurezza temporanee nella Guida per l'utente IAM. Per le opzioni sulla memorizzazione di queste credenziali temporanee, consulta. AWS chiavi di accesso
È possibile utilizzare queste credenziali per recuperare in modo sicuro autorizzazioni applicative più ampie da Secrets Manager, dove è possibile archiviare i segreti di produzione o le credenziali basate sui ruoli di lunga durata.
Utilizza la documentazione scritta dal tuo provider di terze parti per ottenere le migliori indicazioni su come ottenere le credenziali.
Sì: utilizza variabili di ambiente e credenziali temporanee. AWS STS
No: utilizza chiavi di accesso statiche archiviate in un gestore segreto crittografato (ultima risorsa).
Metodi di autenticazione
Metodi di autenticazione per il codice in esecuzione all'interno di un AWS ambiente
Se il codice continua a funzionare AWS, le credenziali possono essere rese automaticamente disponibili all'applicazione. Ad esempio, se l'applicazione è ospitata su Amazon Elastic Compute Cloud e a tale risorsa è associato un ruolo IAM, le credenziali vengono automaticamente rese disponibili all'applicazione. Allo stesso modo, se utilizzi contenitori Amazon ECS o Amazon EKS, le credenziali impostate per il ruolo IAM possono essere ottenute automaticamente dal codice in esecuzione all'interno del contenitore tramite la catena di provider di credenziali dell'SDK.
-
Utilizzo dei ruoli IAM per autenticare le applicazioni distribuite su Amazon EC2— Usa i ruoli IAM per eseguire in modo sicuro la tua applicazione su un' EC2 istanza Amazon.
-
Puoi interagire a livello di codice con AWS l'utilizzo di IAM Identity Center nei seguenti modi:
-
AWS CloudShellDa utilizzare per eseguire AWS CLI comandi dalla console.
-
Autenticazione tramite un provider di identità basato sul Web: applicazioni Web mobili o basate su client
Se stai creando applicazioni mobili o applicazioni web basate su client che richiedono l'accesso a AWS, crea la tua app in modo che richieda le credenziali di AWS sicurezza temporanee in modo dinamico utilizzando la federazione delle identità web.
Con la federazione delle identità Web, non è necessario creare il codice di accesso personalizzato o gestire le identità utente personalizzate. Gli utenti dell'app possono invece accedere utilizzando un provider di identità (IdP) esterno noto, come Login with Amazon, Facebook, Google o qualsiasi altro IdP compatibile con OpenID Connect (OIDC). Possono ricevere un token di autenticazione e quindi scambiarlo con credenziali di sicurezza temporanee in AWS quella mappa con un ruolo IAM con le autorizzazioni per utilizzare le risorse dell'utente. Account AWS
Per informazioni su come configurarlo per il tuo SDK o il tuo strumento, consulta. Assumere un ruolo con web identity o OpenID Connect per l'autenticazione e AWS SDKs gli strumenti
Per le applicazioni mobili, prendi in considerazione l'utilizzo di Amazon Cognito. Amazon Cognito funge da broker di identità e svolge gran parte del lavoro federativo per te. Per ulteriori informazioni, consulta Using Amazon Cognito per app mobili nella IAM User Guide.
Metodi di autenticazione per il codice eseguito localmente (non in AWS)
-
Utilizzo di IAM Identity Center per autenticare AWS SDK e strumenti— Come best practice di sicurezza, ti consigliamo di utilizzare AWS Organizations IAM Identity Center per gestire l'accesso su tutti i tuoi dispositivi Account AWS. Puoi creare utenti in AWS IAM Identity Center, utilizzare Microsoft Active Directory, utilizzare un provider di identità (IdP) SAML 2.0 o federare individualmente il tuo IdP in. Account AWS Per verificare se la tua regione supporta IAM Identity Center, consulta gli AWS IAM Identity Center endpoint e le quote nel. Riferimenti generali di Amazon Web Services
-
Utilizzo di IAM Roles Anywhere per l'autenticazione AWS SDKs e gli strumenti— Puoi utilizzare IAM Roles Anywhere per ottenere credenziali di sicurezza temporanee in IAM per carichi di lavoro come server, contenitori e applicazioni eseguiti all'esterno di. AWS Per utilizzare IAM Roles Anywhere, i carichi di lavoro devono utilizzare certificati X.509.
-
Assumere un ruolo con AWS credenziali di autenticazione e strumenti AWS SDKs — Puoi assumere un ruolo IAM per accedere temporaneamente a AWS risorse a cui altrimenti non avresti accesso.
-
Utilizzo delle chiavi di AWS accesso per l'autenticazione AWS SDKs e degli strumenti— Altre opzioni che potrebbero essere meno convenienti o che potrebbero aumentare il rischio di sicurezza per le AWS risorse.
Ulteriori informazioni sulla gestione degli accessi
La Guida per l'utente IAM contiene le seguenti informazioni sul controllo sicuro dell'accesso alle AWS risorse:
Riferimenti generali di Amazon Web ServicesHa le basi fondamentali su quanto segue:
-
Comprensione e acquisizione AWS delle credenziali: accedi alle opzioni chiave e alle pratiche di gestione sia per l'accesso da console che per quello programmatico.
Plugin TIP (Trusted Identity Propagation) di IAM Identity Center a cui accedere Servizi AWS
-
Utilizzo del plugin TIP per accedere Servizi AWS— Se stai creando un'applicazione per Amazon Q Business o un altro servizio che supporta la propagazione di identità affidabili e utilizzi il AWS SDK per Java o il AWS SDK per JavaScript, puoi utilizzare il plug-in TIP per un'esperienza di autorizzazione semplificata.
ID Builder AWS
I ID Builder AWS complementi Account AWS che potresti già possedere o che desideri creare. Sebbene un Account AWS funga da contenitore per AWS le risorse che crei e fornisca un limite di sicurezza per tali risorse, il tuo ti ID Builder AWS rappresenta come individuo. Puoi accedere con il tuo ID Builder AWS per accedere a strumenti e servizi per sviluppatori come Amazon Q e Amazon CodeCatalyst.
-
Accedi tramite la ID Builder AWS Guida per l'Accedi ad AWS utente: scopri come creare e utilizzare un ID Builder ID Builder AWS e scopri cosa offre.
-
CodeCatalystconcetti - ID Builder AWS nella Amazon CodeCatalyst User Guide - Scopri come CodeCatalyst usa un ID Builder AWS.
