Сервис AWS Identity and Access Management (IAM) позволяет управлять несколькими типами долгосрочных данных для безопасного доступа пользователей IAM.

  • Пароли. Используются для входа на защищенные страницы AWS, такие как Консоль управления AWS и форумы AWS.
  • Ключи доступа . Используются для программных запросов к AWS из API AWS, интерфейса командной строки AWS, AWS SDK или инструментов AWS для Windows PowerShell.
  • Пары ключей Amazon CloudFront . Используются в CloudFront для создания подписанных URL-адресов.
  • Открытые ключи SSH. Используются при прохождении аутентификации в репозиториях AWS CodeCommit.
  • Сертификаты X.509. Используются для передачи безопасных запросов по протоколу SOAP к некоторым сервисам AWS.

Назначить своим пользователям IAM данные для доступа к ресурсам AWS можно с помощью API, интерфейса командной строки или Консоли управления AWS. Можно осуществлять ротацию и отзывать данные для доступа, когда это необходимо.

Кроме управления этими данными для доступа пользователей, можно дополнительно повысить безопасность доступа пользователей IAM к ресурсам AWS путем принудительного использования многофакторной аутентификации (MFA).

Дополнительные сведения об использовании долгосрочных данных для доступа в AWS см. в разделе Данные для доступа к ресурсам AWS.

IAM также позволяет предоставлять пользователям временные данные для доступа к вашим ресурсам AWS с определенным сроком действия. Например, использование временного доступа полезно в следующих случаях.

  • Создается мобильное приложение, в котором используется сторонний вход.
  • Создается мобильное приложение с собственной аутентификацией.
  • Для предоставления доступа к ресурсам AWS используется система аутентификации некой организации.
  • Для предоставления доступа к ресурсам AWS используется система аутентификации некой организации и SAML.
  • Используется единый вход в систему (SSO) через веб-интерфейс для Консоли управления AWS.
  • Сторонним лицам делегируется доступ к API для обращения к ресурсам в вашем аккаунте или в другом аккаунте, которым вы владеете.

Дополнительные сведения о временных данных для доступа см. в руководстве Использование временных данных для доступа.