Amazon 一般参考 参考指南 版本 1.0 Amazon 一般参考 参考指南 Amazon 一般参考: 参考指南 Copyright © 2022 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon 的商标和商业外观不得用于任何非 Amazon 的商品或服务，也不得以任何可能引起客户混淆、贬低或诋毁 Amazon 的方式使用。所有非 Amazon 拥有的其它商标均为各自所有者的财产，这些所有者可能附属于 Amazon、与 Amazon 有关联或由 Amazon 赞助，也可能不是如此。 Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差 异，请参阅中国的 Amazon Web Services 服务入门。 Amazon 一般参考 参考指南 Table of Contents Amazon 一般参考............................................................................................................................... 1 Amazon 安全凭证............................................................................................................................... 2 Amazon 用户............................................................................................................................. 2 需要根用户凭证的任务......................................................................................................... 2 Amazon凭证.............................................................................................................................. 3 访问您的 Amazon 账户........................................................................................................ 3 访问密钥 ............................................................................................................................ 5 Amazon Web Services 账户 标识符............................................................................................... 7 查找您的 Amazon Web Services 账户 ID............................................................................... 7 管理 Amazon 访问密钥的最佳实践................................................................................................. 8 请勿创建根用户的访问密钥................................................................................................... 8 使用临时安全凭证（IAM 角色）............................................................................................ 9 正确管理 IAM 用户访问密钥................................................................................................. 9 使用 Amazon 访问密钥访问移动应用程序.............................................................................. 10 了解更多信息.................................................................................................................... 11 Amazon 安全审核指南............................................................................................................... 11 何时应执行安全审核 .......................................................................................................... 12 审核准则 .......................................................................................................................... 12 审核 Amazon 账户凭证...................................................................................................... 12 审核 IAM 用户.................................................................................................................. 12 审核 IAM 组..................................................................................................................... 12 审核 IAM 角色.................................................................................................................. 13 查看您的 SAML 和 OpenID Connect（OIDC）的 IAM 提供商................................................... 13 审核移动应用程序 .............................................................................................................. 13 审核 Amazon EC2 安全配置 ............................................................................................... 13 审核其他服务中的 Amazon 策略.......................................................................................... 14 监控 Amazon 账户中的活动................................................................................................ 14 有关审核 IAM 策略的提示................................................................................................... 14 了解更多信息.................................................................................................................... 15 Amazon 资源................................................................................................................................... 16 为 Amazon 资源添加标签........................................................................................................... 16 最佳实践 .......................................................................................................................... 16 为类别添加标签................................................................................................................. 17 标签命名限制和要求 .......................................................................................................... 17 常见标签策略.................................................................................................................... 18 标签监管 .......................................................................................................................... 19 了解更多信息.................................................................................................................... 19 Amazon Resource Name（ARN）............................................................................................... 19 ARN 格式........................................................................................................................ 19 ARN 中的路径.................................................................................................................. 20 Amazon IP 地址范围......................................................................................................................... 22 下载 ........................................................................................................................................ 22 语法 ........................................................................................................................................ 22 筛选 JSON 文件....................................................................................................................... 24 Windows.......................................................................................................................... 24 Linux............................................................................................................................... 25 实施出口控制............................................................................................................................ 26 Windows PowerShell......................................................................................................... 26 jq.................................................................................................................................... 27 Python............................................................................................................................. 27 发布说明 .................................................................................................................................. 28 了解更多信息............................................................................................................................ 29 Amazon API..................................................................................................................................... 30 API 重试.................................................................................................................................. 30 版本 1.0 iii Amazon 一般参考 参考指南 签署 Amazon API 请求.............................................................................................................. 31 何时签署请求.................................................................................................................... 31 为什么签署请求................................................................................................................. 31 签署请求 .......................................................................................................................... 31 签名版本 .......................................................................................................................... 32 Signature Version 4 签名流程............................................................................................. 32 Signature Version 2 签名流程............................................................................................. 58 Amazon 软件开发工具包支持 Amazon S3 客户端加密..................................................................... 64 用于 Amazon S3 客户端加密的 Amazon SDK 功能 ................................................................. 64 Amazon S3 加密客户端加密算法......................................................................................... 65 文档惯例.......................................................................................................................................... 67 Amazon词汇表.................................................................................................................................. 69 版本 1.0 iv Amazon 一般参考 参考指南 Amazon 一般参考 Amazon一般参考提供了亚马逊云科技的有用信息。 目录 • Amazon 安全凭证 (p. 2) • Amazon 资源 (p. 16) • Amazon IP 地址范围 (p. 22) • Amazon API (p. 30) • 文档惯例 (p. 67) • Amazon词汇表 (p. 69) 版本 1.0 1 Amazon 一般参考 参考指南 Amazon 用户 Amazon 安全凭证 当您与 Amazon 交互时，可指定 Amazon 安全凭证 以验证您的身份以及您是否有权访问所请求的资 源。Amazon 使用安全凭证来对您的请求进行身份验证和授权。 例如，如果要从 Amazon Simple Storage Service (Amazon S3) 存储桶下载受保护的文件，则您的凭证必 须允许该访问。如果您的凭证未显示您有权下载该文件，Amazon 会拒绝您的请求。但是，下载公开共享的 Amazon S3 存储桶中的文件不需要您的 Amazon 安全凭证。 目录 • Amazon Web Services 账户 根用户凭证与 IAM 用户凭证 (p. 2) • 了解并获取您的 Amazon 凭证 (p. 3) • 您的 Amazon Web Services 账户 标识符 (p. 7) • 管理 Amazon 访问密钥的最佳实践 (p. 8) • Amazon 安全审核指南 (p. 11) Amazon Web Services 账户 根用户凭证与 IAM 用户 凭证 Amazon 中有两种不同类型的用户。您是账户拥有者（根用户），或者是 Amazon Identity and Access Management（IAM）用户。在创建 Amazon Web Services 账户 时，它还会创建根用户。根用户或账户的 IAM 管理员可以创建 IAM 用户。所有 Amazon 用户都具有安全凭证。 根用户凭证 账户拥有者的凭证允许完全访问账户中的所有资源。您无法使用 IAM 策略显式拒绝根用户访问资源。您只能 使用 Amazon Organizations 服务控制策略（SCP）来限制根用户的权限。因此，我们建议您创建一个具有 管理员权限的 IAM 用户，以用于日常 Amazon 任务并锁定根用户的凭证。 有一些特定任务仅限于 Amazon Web Services 账户 根用户。例如，只有根用户可以关闭您的账户。如果您 必须执行需要根用户的任务，请使用根用户的电子邮件地址和密码登录 Amazon Web Services Management Console。有关更多信息，请参阅需要根用户凭证的任务 (p. 2)。 IAM 凭证 通过 IAM，您可以安全地控制用户对 Amazon Web Services 账户 中 Amazon Web Services 和资源的访 问。例如，如果您需要管理员级别权限，则可以创建 IAM 用户，为该用户授予完全访问权限，然后使用这些 凭证与 Amazon 交互。如果必须修改或撤销权限，您可以删除或修改与该 IAM 用户相关联的策略。 如果多个用户需要访问您的 Amazon Web Services 账户，您可以为每个用户创建唯一的凭证并定义哪些用 户有权访问哪些资源。您不必共享凭证。例如，您可以创建对 Amazon Web Services 账户 中的资源具有只 读访问权限的 IAM 用户，并将这些凭证分发给您的用户。 需要根用户凭证的任务 我们建议您使用具有适当权限的 IAM 用户来执行任务和访问 Amazon 资源。不过，您只能在以账户的根用户 身份登录时才能执行下列任务。 任务 • 更改您的账户设置。这包括账户名称、电子邮件地址、根用户密码和根用户访问密钥。其他账户设置（例 如联系人信息、付款货币偏好和区域）不需要根用户凭证。 版本 1.0 2 Amazon 一般参考 参考指南 Amazon凭证 • 恢复 IAM 用户权限。如果具有管理员权限的唯一 IAM 管理员意外撤消了自己的权限，您可以使用根用户 身份登录来编辑策略并还原这些权限。 • 激活 IAM 对账单和成本管理控制台的访问权限。 • 查看特定税务发票。具有 aws-portal:ViewBilling 权限的 IAM 用户还可以查看和下载 Amazon 欧洲的增值 税发票，但不能查看和下载 Amazon Inc 或 Amazon Internet Services Pvt. Ltd (AISPL) 的增值税发票。 • 关闭 Amazon Web Services 账户。 • 已在预留实例 Marketplace 中注册为卖家。 • 为 S3 桶配置 MFA 删除。 • 编辑或删除一个包含无效 VPC ID 或 VPC 终端节点 ID 的 Amazon S3 存储桶策略。 • 注册 GovCloud。 问题排查 如果您无法使用您的根用户凭证完成以下任何任务，您的账户可能是 Amazon Organizations 中的组织的成 员。如果组织管理员使用服务控制策略（SCP）来限制账户的权限，则您的根用户权限可能会受到影响。有 关更多信息，请参阅《Amazon Organizations 用户指南》中的服务控制策略。 了解并获取您的 Amazon 凭证 Amazon 需要不同类型的安全凭证，具体取决于您访问 Amazon 的方式。例如，您需要用户名和密码才能登 录 Amazon Web Services Management Console，并且需要访问密钥才能以编程方式调用 Amazon。您还需 要访问密钥才能使用 Amazon Command Line Interface 或 Amazon Tools for PowerShell。 注意事项 • 请务必将以下内容保存在一个安全位置：与您的 Amazon Web Services 账户 关联的电子邮件地 址、Amazon Web Services 账户 ID、根用户密码和账户访问密钥。如果您忘记或丢失了根用户密码，则 必须有权访问与您的账户关联的电子邮件地址才能重置根用户密码。如果您丢失了访问密钥，则必须登录 您的账户才能创建新访问密钥。 • 强烈建议您不要使用根用户执行日常任务。保护好根用户凭证，并使用这些凭证来执行仅根用户可以执行 的任务。有关要求您以根用户身份登录的任务的完整列表，请参阅需要根用户凭证的任务。 • 安全凭证特定于账户。如果您有权访问多个 Amazon Web Services 账户，则每个账户都必须有单独的凭 证。 • 切勿与任何人共享您的 Amazon Web Services 账户 根用户密码或访问密钥。 凭证 • 访问您的 Amazon 账户 (p. 3) • 访问密钥 (p. 5) 访问您的 Amazon 账户 访问 Amazon Web Services 账户 的方式取决于您拥有的 Amazon 用户类型。有两种不同类型的 Amazon 用户。您可以是账户根用户、Amazon Identity and Access Management(IAM) 用户、Amazon IAM Identity Center (successor to Amazon Single Sign-On) 用户或联合身份。 您可以使用如下方法访问 Amazon： • Amazon Web Services Management Console 登录页面 • Amazon 访问门户登录页面 版本 1.0 3 Amazon 一般参考 参考指南 访问您的 Amazon 账户 • 联合身份 • API、Amazon Command Line Interface 和 SDK（软件开发套件）等编程方法 Amazon Web Services Management Console 根用户和 IAM 用户通过 Amazon Web Services Management Console 登录。Amazon Web Services Management Console 提供了一个基于 Web 的用户界面，您可以使用该界面来创建和管理 Amazon 资源。 例如，您可以启动和停止 Amazon Elastic Compute Cloud (EC2) 实例、创建 Amazon DynamoDB 表、创建 Amazon Simple Storage Service (S3) 存储桶。 • 根用户使用以下方式登录： • 电子邮件地址 • Password • IAM 用户使用以下方式登录： • 账户 ID 或别名 • 用户名或电子邮件地址 • Password • 您的账户所有者或 IAM 管理员应向您提供账户 ID 或别名和用户名。他们创建账户并设置您的用户 名。用户名可能是您的电子邮件地址。 有关如何登录 Amazon Web Services Management Console 的分步指导，请参阅 Amazon 登录用户指南中 的登录 Amazon Web Services Management Console。 有关使用多重身份验证 (MFA) 设备登录的更多信息，请参阅将 MFA 设备与您的 IAM 登录页面结合使用。 Important 当您创建 Amazon Web Services 账户时，最初使用的是一个对账户中所有 Amazon Web Services 和资源拥有完全访问权限的登录身份。此身份称为 Amazon Web Services 账户根用户，使用您创建 账户时所用的电子邮件地址和密码登录，即可获得该身份。强烈建议您不要使用根用户执行日常任 务。保护好根用户凭证，并使用这些凭证来执行仅根用户可以执行的任务。有关要求您以根用户身 份登录的任务的完整列表，请参阅Amazon 一般参考中的需要根用户凭证的任务。 Amazon 访问门户 IAM Identity Center 用户通过 Amazon 访问门户而非 Amazon Web Services Management Console 登录。 通过 Amazon 访问门户登录之后，您可以访问自己的 Amazon Web Services 账户 和应用程序。您可以通过 Amazon 访问门户访问云应用程序，例如 Office 365、Concur 和 Salesforce。您的管理员或帮助中心员工应 该向您提供特定的登录 URL，如以下示例： https://d-xxxxxxxxxx.awsapps.com/start 或 https://your_subdomain.awsapps.com/start 或者，如果您为 Amazon Web Services 账户 创建 IAM Identity Center 用户，就会收到一封包含特定登录 URL 的电子邮件邀请。 IAM Identity Center 用户使用以下信息登录： • 企业用户名 • 企业密码 版本 1.0 4 Amazon 一般参考 参考指南 访问密钥 • 如果系统提示输入验证码，请检查您的电子邮件，然后复制验证码并将其粘贴到登录页面中。 • 验证码通常通过电子邮件发送，但送达方式可能有所不同。您的管理员会建立安全设置，这些设置要 求用户提供验证码。有关详细信息，请咨询您的管理员。 有关如何登录 Amazon 访问门户的分步指导，请参阅 Amazon 登录用户指南中的登录 Amazon 访问门户。 有关 IAM Identity Center 的更多信息，请参阅《Amazon IAM Identity Center (successor to Amazon Single Sign-On) 用户指南》中的什么是 IAM Identity Center？。 联合身份 联合身份是可以使用外部身份安全访问 Amazon Web Services 账户 资源的用户。外部身份可能来自公 司身份存储（如 LDAP 或 Windows Active Directory）或第三方（如 Login with Amazon、Facebook 或 Google）。联合身份不使用 Amazon Web Services Management Console 或 Amazon 访问门户登录。使用 的外部身份类型决定了联合身份的登录方式。 有关联合身份的更多信息，请参阅 IAM 用户指南中的关于 Web 身份联合验证。 管理员必须创建包含 https://signin.aws.amazon.com/federation 的自定义 URL。有关更多信 息，请参阅授权自定义身份凭证代理程序对 Amazon Web Services Management Console 的访问权限。 Note 您的管理员创建联合身份。有关如何以联合身份登录的更多详细信息，请联系您的管理员。 Amazon Command Line Interface Amazon 用户也可以使用 Amazon Command Line Interface(Amazon CLI) 登录。有关 Amazon CLI 的更多信 息，请参阅什么是 Amazon Command Line Interface。 多重身份验证 (MFA) 多重身份验证 (MFA) 为可以访问 Amazon Web Services 账户 的用户提供了额外的安全级别。为了提高安 全性，我们建议您对 Amazon Web Services 账户 根用户凭证和所有 IAM 用户要求使用 MFA。有关更多信 息，请参阅 IAM 用户指南中的在 Amazon 中使用多重身份验证（MFA）。 当您激活 MFA 并登录到您的 Amazon Web Services 账户 时，系统会提示您输入用户名和密码，外加 MFA 设备生成的响应，例如代码、触摸或点按或者生物识别扫描。添加 MFA 之后，您 Amazon Web Services 账 户 设置和资源会更加安全。 默认情况下，MFA 未激活。您可以前往 Security credentials（安全凭证）页面或 Amazon Web Services Management Console 中的 IAM 控制面板，为 Amazon Web Services 账户 根用户激活和管理 MFA 设备。 有关为 IAM 用户激活 MFA 的更多信息，请参阅 IAM 用户指南中的启用 MFA 设备。 访问密钥 当您以编程方式使用 Amazon 时，您需要提供您的 Amazon访问密钥，以便 Amazon 可以在编程调用中验证 您的身份。访问密钥可以是临时（短期）凭证，也可以是长期凭证，例如适用于 IAM 用户或 Amazon 账户根 用户的凭证。在很多情况下，应考虑长期访问密钥的替代方法 (p. 6)。 关于访问密钥 创建长期访问密钥时，您将访问密钥 ID（例如 AKIAIOSFODNN7EXAMPLE）和秘密访问密钥（例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY）创建为一组。秘密访问密钥仅在您创建它时可供下 载。如果您没有下载秘密访问密钥或丢失了它，则必须创建新的秘密访问密钥。 版本 1.0 5 Amazon 一般参考 参考指南 访问密钥 在许多情况下，您并不需要永不过期的长期访问密钥（如 IAM 用户访问密钥）。相反，您可以创建 IAM 角 色并生成临时安全凭证。临时安全凭证包括访问密钥 ID 和秘密访问密钥，以及一个指示凭证何时到期的安全 令牌。在过期后，这些凭证将不再有效。有关更多信息，请参阅临时访问密钥 (p. 6)。 以 AKIA 开头的访问密钥 ID 是 IAM 用户或 Amazon Web Services 账户 根用户的长期访问密钥。以 ASIA 开头的访问密钥 ID 是使用 Amazon STS 操作创建的临时凭证访问密钥。 长期访问密钥的考虑事项和替代方法 对于许多常见使用案例，应有长期访问密钥的替代方法。为了提高您的账户安全性，请考虑以下几点。 • 不要在应用程序代码或代码存储库中嵌入长期访问密钥和秘密访问密钥 –改用 Amazon Secrets Manager 或其他秘密管理解决方案，因此您不必以纯文本硬编码密钥。然后，应用程序或客户端可以在需要时检 索秘密。有关更多信息，请参阅《Amazon Secrets Manager 用户指南》中的什么是 Amazon Secrets Manager？。 • 尽可能使用 IAM 角色来生成临时安全凭证 –尽可能使用机制颁发临时安全凭证，而不是使用长期访问密 钥。临时安全凭证更加安全，因为它们不随用户一起存储，而是动态生成并在用户提出请求时提供给用 户。临时安全凭证的生命周期有限，因此您无需对其进行管理或轮换。机制包括 IAM 角色或 IAM Identity Center 用户的身份验证。有关更多信息，请参阅 使用临时安全凭证（IAM 角色） (p. 9) 和 临时访问 密钥 (p. 6)。 • 对 Amazon Command Line Interface(Amazon CLI) 或 aws-shell 使用长期访问密钥的替代方法 – 替代 方法包括如下。 • Amazon CloudShell 是一个基于浏览器的预先验证 shell，您可以直接从 Amazon Web Services Management Console 中启动。您可以通过自己喜爱的 Shell（Bash、Powershell 或 Z shell）来对 Amazon Web Services 运行 Amazon CLI 命令。在执行此操作时，您无需下载或安装命令行工具。有关 更多信息，请参阅《Amazon CloudShell 用户指南》中的什么是 Amazon CloudShell？。 • Amazon CLI 版本 2 与 Amazon IAM Identity Center (successor to Amazon Single Sign-On) (IAM Identity Center) 集成。您可以对用户进行身份验证并提供短期凭证以运行 Amazon CLI 命令。要了解更 多信息，请参阅 Amazon IAM Identity Center (successor to Amazon Single Sign-On) 用户指南中的集成 Amazon CLI 与 IAM Identity Cenenter 和 Amazon Command Line Interface 用户指南中的配置 Amazon CLI 以使用 IAM Identy Center。 • 不要为需要访问应用程序或 Amazon Web Services 的人类用户创建长期访问密钥 – IAM Identity Center 可以生成临时访问凭证，供您的外部 IdP 用户访问 Amazon Web Services。这样就无需在 IAM 中创建和 管理长期凭证。在 IAM Identity Center 中，创建一个 IAM Identity Center 权限集，该权限集向外部 IdP 用 户授予访问权限。然后，将来自 IAM Identity Center 的组分配给选定 Amazon Web Services 账户 中的 权限集。有关更多信息，请参阅什么是 Amazon IAM Identity Center (successor to Amazon Single Sign- On)、连接到外部身份提供者以及 Amazon IAM Identity Center (successor to Amazon Single Sign-On) 用 户指南中的权限集。 • 不要 Amazon 计算服务中存储长期访问密钥 – 相反，应为计算资源分配 IAM 角色。这会自动提供临时凭证 以授予访问权限。例如，在创建附加到 Amazon EC2 实例的实例配置文件，可以将 Amazon 角色分配给 该实例并使其对该实例的所有应用程序可用。实例配置文件包含角色，并使 Amazon EC2 实例上运行的程 序能够获得临时凭证。要了解更多信息，请参阅使用 IAM 角色为 Amazon EC2 实例上运行的应用程序授 予权限。 有关与访问密钥相关的其他安全最佳实践，请参阅 管理 Amazon 访问密钥的最佳实践 (p. 8)。 临时访问密钥 您还可以为编程访问请求创建和使用临时访问密钥，称为临时安全凭证。我们建议您使用临时访问密钥而不 是长期访问密钥，如上一节所述。有关更多信息，请参阅 IAM 用户指南中的将临时安全凭证与 Amazon 资源 结合使用。 在不太安全的环境中可以使用临时访问密钥，或者可以分配临时访问密钥以便向用户授予对您的 Amazon Web Services 账户 中资源的临时访问权限。 版本 1.0 6