As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Uso e ferramentas de autenticação AWS SDKs e acesso
Ao desenvolver um aplicativo AWS SDK ou usar AWS ferramentas para usar Serviços da AWS, você deve estabelecer como seu código ou ferramenta é autenticado. AWS Você pode configurar o acesso programático aos AWS recursos de maneiras diferentes, dependendo do ambiente em que o código é executado e do AWS acesso disponível para você.
As opções abaixo fazem parte da cadeia de fornecedores de credenciais. Isso significa que, ao configurar seus credentials arquivos compartilhados AWS config e compartilhados adequadamente, seu AWS SDK ou ferramenta descobrirá e usará automaticamente esse método de autenticação.
Escolher um método para autenticar o código da aplicação
Escolha um método para autenticar as chamadas feitas AWS pelo seu aplicativo.
Se seu código for executado AWS, as credenciais poderão ser disponibilizadas automaticamente para seu aplicativo. Por exemplo, se a aplicação estiver hospedada no Amazon Elastic Compute Cloud e houver um perfil do IAM associado a esse recurso, as credenciais serão disponibilizadas automaticamente para a aplicação. Da mesma forma, se você usar contêineres do Amazon ECS ou do Amazon EKS, as credenciais definidas para o perfil do IAM poderão ser obtidas automaticamente pelo código sendo executado dentro do contêiner por meio da cadeia de fornecedores de credenciais do SDK.
Usar perfis do IAM para autenticar aplicações implantadas no Amazon EC2— Use funções do IAM para executar seu aplicativo com segurança em uma instância da Amazon EC2.
O Lambda cria um perfil de execução com permissões mínimas quando você cria uma função do Lambda. O AWS SDK ou a ferramenta então usa automaticamente a função do IAM anexada ao Lambda em tempo de execução, por meio do ambiente de execução do Lambda.
Use o perfil do IAM para a tarefa. Você deve criar um perfil de tarefa e especificar esse perfil na definição de tarefa do Amazon ECS. O SDK ou a ferramenta da AWS então usam automaticamente o perfil do IAM atribuído à tarefa no runtime por meio dos metadados do Amazon ECS.
Recomendamos que você use as identidades de Pods do Amazon EKS.
Observação: se você achar que os perfis do IAM para contas de serviço (IRSA) podem atender melhor às suas necessidades específicas, consulte Comparação entre o EKS Pod Identity e o IRSA no Amazon EKS User Guide.
Consulte Uso de políticas baseadas em identidade para. CodeBuild
Veja o guia dedicado ao seu AWS service (Serviço da AWS). Quando você executa o código no AWS, a cadeia de fornecedores de credenciais do SDK pode obter e atualizar automaticamente as credenciais para você.
Se você estiver criando aplicativos móveis ou aplicativos web baseados em clientes que exigem acesso AWS, crie seu aplicativo para que ele solicite credenciais de AWS segurança temporárias de forma dinâmica usando a federação de identidades da web.
Com a federação de identidades da web, você não precisa criar código de login personalizado nem gerenciar suas próprias identidades de usuários. Em vez disso, os usuários do aplicativo podem fazer login usando um provedor de identidades (IdP) externo conhecido, como Login with Amazon, Facebook, Google ou qualquer outro IdP compatível com OpenID Connect (OIDC). Eles podem receber um token de autenticação e, em seguida, trocar esse token por credenciais de segurança temporárias AWS nesse mapa para uma função do IAM com permissões para usar os recursos em seu Conta da AWS.
Para saber mais sobre como configurar isto para o seu SDK ou ferramenta, consulte Assumir um perfil com identidade de web ou OpenID Connect para autenticar SDKs e ferramentas da AWS.
Para aplicações móveis, recomendamos o uso do Amazon Cognito. O Amazon Cognito atua como um agente de identidades e realiza a maioria do trabalho de federação para você. Para obter mais informações, consulte Usar Amazon Cognito para aplicações móveis no Guia do usuário do IAM.
Nós recomendamosUsando credenciais do console para autenticação e ferramentas AWS SDKs .
Depois de um rápido fluxo de autenticação baseado em navegador, gera AWS automaticamente credenciais temporárias que funcionam em ferramentas de desenvolvimento locais, como a CLI e. AWS Ferramentas da AWS para PowerShell AWS SDKs
Use o IAM Identity Center para autenticar o AWS SDK e as ferramentas se você já tiver acesso às AWS contas and/or necessárias para gerenciar o acesso da sua força de trabalho. Como prática recomendada de segurança, recomendamos o uso AWS Organizations com o IAM Identity Center para gerenciar o acesso em todas as suas AWS contas. Você pode criar usuários no IAM Identity Center, usar o Microsoft Active Directory, usar um provedor de identidade (IdP) SAML 2.0 ou federar individualmente seu AWS IdP às contas. Para verificar se sua região é compatível com o IAM Identity Center, consulte os endpoints e cotas do Usando o IAM Identity Center para autenticar o AWS SDK e as ferramentas IAM Identity Center na Referência geral da Amazon Web Services.
Crie um usuário do IAM com menos privilégios com permissões para sts:AssumeRole entrar na sua função de destino. Em seguida, configure seu perfil para assumir uma função usando uma source_profile configuração para esse usuário.
Você também pode usar credenciais temporárias do IAM por meio de variáveis de ambiente ou do arquivo de AWS credenciais compartilhado. Consulte Uso de credenciais de curto prazo para autenticação AWS SDKs e ferramentas.
Observação: somente em ambientes de sandbox ou de aprendizado, você pode considerar o uso de credenciais de longo prazo para autenticação AWS SDKs e ferramentas.
Sim: consulte Usar IAM Roles Anywhere para autenticar SDKs e ferramentas da AWS. Você pode usar o IAM Roles Anywhere para obter credenciais de segurança temporárias no IAM para cargas de trabalho, como servidores, contêineres e aplicativos executados fora do. AWS Para usar o IAM Roles Anywhere, seu workload deve usar certificados X.509.
Use Provedor de credenciais de processo para recuperar credenciais automaticamente no runtime. Esses sistemas podem usar uma ferramenta auxiliar ou um plug-in para obter as credenciais e podem assumir um perfil do IAM nos bastidores usando sts:AssumeRole.
Use credenciais temporárias injetadas via. AWS Secrets Manager Para ver opções para obter chaves de acesso de curta duração, consulte Solicitar credenciais de segurança temporárias no Guia do usuário do IAM. Para ver opções para armazenar essas credenciais temporárias, consulte Chaves de acesso AWS.
Você pode usar essas credenciais para recuperar com segurança permissões de aplicação mais amplas do Secrets Manager, onde seus segredos de produção ou credenciais de longa duração baseadas em perfil podem ser armazenados.
Use a documentação escrita por seu provedor externo para obter a melhor orientação sobre como obter credenciais.
Sim: use variáveis de ambiente e AWS STS credenciais temporárias.
Não: use as chaves de acesso estáticas armazenadas no gerenciador de segredos criptografados (último recurso).
Métodos de autenticação
Métodos de autenticação para código executado em um AWS ambiente
Se seu código for executado AWS, as credenciais poderão ser disponibilizadas automaticamente para seu aplicativo. Por exemplo, se a aplicação estiver hospedada no Amazon Elastic Compute Cloud e houver um perfil do IAM associado a esse recurso, as credenciais serão disponibilizadas automaticamente para a aplicação. Da mesma forma, se você usar contêineres do Amazon ECS ou do Amazon EKS, as credenciais definidas para o perfil do IAM poderão ser obtidas automaticamente pelo código executado dentro do contêiner por meio da cadeia de fornecedores de credenciais do SDK.
-
Usar perfis do IAM para autenticar aplicações implantadas no Amazon EC2— Use funções do IAM para executar seu aplicativo com segurança em uma instância da Amazon EC2 .
-
Você pode interagir programaticamente com o AWS uso do IAM Identity Center das seguintes formas:
-
Use AWS CloudShellpara executar AWS CLI comandos no console.
-
Autenticação por meio de um provedor de identidades baseado na Web: aplicativos web baseados em clientes ou móvel
Se você estiver criando aplicativos móveis ou aplicativos web baseados em clientes que exigem acesso AWS, crie seu aplicativo para que ele solicite credenciais de AWS segurança temporárias de forma dinâmica usando a federação de identidades da web.
Com a federação de identidades da web, você não precisa criar código de login personalizado nem gerenciar suas próprias identidades de usuários. Em vez disso, os usuários do aplicativo podem fazer login usando um provedor de identidades (IdP) externo conhecido, como Login with Amazon, Facebook, Google ou qualquer outro IdP compatível com OpenID Connect (OIDC). Eles podem receber um token de autenticação e, em seguida, trocar esse token por credenciais de segurança temporárias AWS nesse mapa para uma função do IAM com permissões para usar os recursos em seu Conta da AWS.
Para saber mais sobre como configurar isto para o seu SDK ou ferramenta, consulte Assumir um perfil com identidade de web ou OpenID Connect para autenticar SDKs e ferramentas da AWS.
Para aplicações móveis, recomendamos o uso do Amazon Cognito. O Amazon Cognito atua como um agente de identidades e realiza a maioria do trabalho de federação para você. Para obter mais informações, consulte Usar Amazon Cognito para aplicações móveis no Guia do usuário do IAM.
Métodos de autenticação para código executado localmente (não na AWS)
-
Usando credenciais do console para autenticação e ferramentas AWS SDKs — Esse recurso funciona com a interface de linha de AWS comando e com as ferramentas para PowerShell e fornece credenciais atualizáveis que funcionam em ferramentas de desenvolvimento locais, como AWS CLI, Tools for e. PowerShell AWS
-
Usando o IAM Identity Center para autenticar o AWS SDK e as ferramentas— Como prática recomendada de segurança, recomendamos o uso AWS Organizations com o IAM Identity Center para gerenciar o acesso em todos os seus Contas da AWS. Você pode criar usuários AWS IAM Identity Center, usar o Microsoft Active Directory, usar um provedor de identidade (IdP) SAML 2.0 ou federar seu IdP individualmente em. Contas da AWS Para verificar se sua Região é compatível com o IAM Identity Center, consulte Endpoints e cotas do AWS IAM Identity Center na Referência geral da Amazon Web Services.
-
Usar IAM Roles Anywhere para autenticar SDKs e ferramentas da AWS— Você pode usar o IAM Roles Anywhere para obter credenciais de segurança temporárias no IAM para cargas de trabalho, como servidores, contêineres e aplicativos executados fora do. AWS Para usar o IAM Roles Anywhere, seu workload deve usar certificados X.509.
-
Assumir um perfil com credenciais da AWS para autenticar SDKs e ferramentas da AWS— Você pode assumir uma função do IAM para acessar temporariamente AWS recursos aos quais talvez não tivesse acesso de outra forma.
-
Usar chaves de acesso do AWS para autenticar SDKs e ferramentas da AWS— Outras opções que podem ser menos convenientes ou aumentar o risco de segurança de seus AWS recursos.
Mais informações sobre gerenciamento de acesso
O Guia do usuário do IAM tem as seguintes informações sobre o controle seguro do acesso aos AWS recursos:
-
Identidades do IAM (usuários, grupos de usuários e funções) — Entenda os fundamentos das identidades em. AWS
-
Melhores práticas de segurança no IAM: recomendações de segurança a serem seguidas ao desenvolver aplicativos da AWS de acordo com o modelo de responsabilidade compartilhada
.
A Referência geral da Amazon Web Services tem noções básicas sobre o seguinte:
-
Entender e obter suas credenciais AWS: opções de chave de acesso e práticas de gerenciamento para acesso programático e de console.
Plug-in de propagação de identidades confiáveis (TIP) do IAM Identity Center para acessar Serviços da AWS
-
Usar o plugin TIP para acessar os Serviços da AWS— Se você estiver criando um aplicativo para o Amazon Q Business ou outro serviço que ofereça suporte à propagação de identidade confiável e estiver usando o AWS SDK para Java ou o AWS SDK para JavaScript, poderá usar o plug-in TIP para uma experiência de autorização simplificada.
ID do builder AWS
Você ID do builder AWS complementa qualquer um Contas da AWS que você já possua ou queira criar. Enquanto um Conta da AWS atua como um contêiner para AWS os recursos que você cria e fornece um limite de segurança para esses recursos, você ID do builder AWS representa você como um indivíduo. Você pode fazer login com você ID do builder AWS para acessar ferramentas e serviços para desenvolvedores, como Amazon Q e Amazon CodeCatalyst.
-
Faça login no Guia do Início de Sessão da AWS usuário — Saiba como criar e usar um ID do builder AWS e saiba o que o Builder ID fornece. ID do builder AWS
-
CodeCatalystconceitos - ID do builder AWS no Guia CodeCatalyst do usuário da Amazon — Saiba como CodeCatalyst usa um ID do builder AWS.
