如何使用AWS Identity and Access Management进行身份验证和授权？

Question

我正在用Java编写自己的报告软件，并计划使用RDS进行数据存储。我想和AWS IAM一起做戒酒会。是否有您可能知道并与我分享的使用AWS Identity and Access Management进行身份验证和授权的示例？

我不是在看如何从亚马逊的控制台设置用户，也不是如何发出控制台命令。相反，我希望看到一些Java代码如何识别用户是否使用他/她的凭证(用户id、密码组合)进行了身份验证，以及该人员是否有权访问特定的报表。

Answer 1

AWS IAM不是为使用您自己的应用对用户进行身份验证而设计的。AWS IAM旨在通过AWS服务对用户进行身份验证。

查看用户是否是真正的用户(身份验证)以及该用户是否获得授权的唯一方法是实际执行AWS API调用。

例如，您可以创建如下所示的策略，并将其附加到用户/组：

{
   "Statement":[{
      "Effect":"Allow",
      "Action":["rds:CreateDBSecurityGroup",
                "rds:DeleteDBSecurityGroup",
                "rds:DescribeDBSecurityGroup",
                "rds:AuthorizeDBSecurityGroupIngress",
                "rds:RevokeDBSecurityGroupIngress"],
      "Resource":"*"
      }
   ]
}

并且拥有此策略的用户或组只能进行这些API调用，而不能进行其他API调用。

查看此处：http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAM.html

Answer 2

亚马逊有一款名为Cognito的应用程序，旨在跨移动设备同步应用程序配置文件。然而，适用于您的问题的是，它还允许用户通过谷歌、脸书或亚马逊(它使用OAuth)进行身份验证。

http://aws.amazon.com/cognito/