认证方法

支持的认证方式

社交登录

Google 认证

特点:

  • 快速安全的 OAuth2 认证
  • 无需记住额外密码
  • 支持企业 Google 账户

设置步骤:

  1. 在 Kiro 启动时选择”使用 Google 登录”
  2. 浏览器将打开 Google 认证页面
  3. 授权 Kiro 访问您的基本资料信息
  4. 完成认证并返回到 Kiro

安全说明:

  • Kiro 仅访问基本资料信息(姓名、邮箱)
  • 不会访问您的 Google Drive 或其他服务
  • 认证令牌安全存储在本地

GitHub 认证

特点:

  • 与开发工作流自然集成
  • 支持企业 GitHub 账户
  • 可访问私有仓库(如授权)

设置步骤:

  1. 选择”使用 GitHub 登录”
  2. 在 GitHub 上确认授权
  3. 选择要授权的组织(可选)
  4. 完成认证流程

权限范围:

  • 基本资料信息
  • 公共仓库访问
  • 私有仓库访问(如选择授权)

Microsoft 认证

特点:

  • 支持个人和企业 Microsoft 账户
  • 与 Office 365 和 Azure 集成
  • 企业级安全标准

设置步骤:

  1. 选择”使用 Microsoft 登录”
  2. 输入 Microsoft 账户凭据
  3. 完成多因素认证(如启用)
  4. 授权 Kiro 访问

AWS 认证

AWS IAM 用户

适用场景:

  • 企业环境部署
  • 需要精细权限控制
  • 与 AWS 服务集成

设置要求:

  • 有效的 AWS 账户
  • IAM 用户凭据(Access Key ID 和 Secret Access Key)
  • 适当的 IAM 权限策略

配置步骤:

  1. 在 AWS IAM 控制台创建用户
  2. 附加必要的权限策略
  3. 生成访问密钥
  4. 在 Kiro 中配置 AWS 凭据

所需权限:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kiro:*",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

AWS SSO

适用场景:

  • 大型企业环境
  • 集中身份管理
  • 临时凭据需求

设置要求:

  • AWS SSO 配置完成
  • 适当的权限集分配
  • SSO URL 和区域信息

配置步骤:

  1. 获取 SSO 登录 URL
  2. 在 Kiro 中输入 SSO 配置
  3. 通过浏览器完成 SSO 认证
  4. 确认权限和访问范围

AWS 临时凭据

适用场景:

  • 短期访问需求
  • 高安全要求环境
  • 自动化脚本

支持方式:

  • STS AssumeRole
  • EC2 实例角色
  • Lambda 执行角色

配置管理

本地存储

存储位置:

  • Windows: %APPDATA%\Kiro\auth\
  • macOS: ~/Library/Application Support/Kiro/auth/
  • Linux: ~/.config/Kiro/auth/

存储内容:

  • 加密的认证令牌
  • 用户资料信息
  • 权限配置

安全措施:

  • 令牌使用 AES-256 加密
  • 密钥存储在系统密钥链中
  • 定期令牌轮换

企业配置

环境变量

# AWS 认证
export KIRO_AWS_ACCESS_KEY_ID="your-access-key"
export KIRO_AWS_SECRET_ACCESS_KEY="your-secret-key"
export KIRO_AWS_REGION="us-west-2"

# SSO 配置
export KIRO_SSO_URL="https://company.awsapps.com/start"
export KIRO_SSO_REGION="us-east-1"

# 代理配置
export KIRO_PROXY_URL="http://proxy.company.com:8080"
export KIRO_PROXY_USERNAME="username"
export KIRO_PROXY_PASSWORD="password"

配置文件

位置: ~/.kiro/config.yaml

authentication:
  provider: "aws-sso"
  aws:
    region: "us-west-2"
    sso:
      start_url: "https://company.awsapps.com/start"
      region: "us-east-1"
      account_id: "123456789012"
      role_name: "KiroUserRole"
  
network:
  proxy:
    http: "http://proxy.company.com:8080"
    https: "https://proxy.company.com:8080"
    no_proxy: "localhost,127.0.0.1,.company.com"

security:
  token_refresh_interval: 3600
  session_timeout: 28800
  require_mfa: true

安全最佳实践

密码和令牌管理

  • 启用双因素认证(2FA)
  • 定期轮换访问密钥
  • 使用强密码策略
  • 避免在代码中硬编码凭据

网络安全

  • 使用 HTTPS 连接
  • 配置适当的防火墙规则
  • 在企业网络中使用代理
  • 监控异常登录活动

权限管理

  • 遵循最小权限原则
  • 定期审查用户权限
  • 使用基于角色的访问控制
  • 记录和监控访问日志

故障排除

常见认证问题

Google 认证失败

可能原因:

  • 网络连接问题
  • 浏览器阻止弹窗
  • Google 账户被锁定

解决方案:

  1. 检查网络连接
  2. 允许 Kiro 弹窗
  3. 确认 Google 账户状态
  4. 清除浏览器缓存

AWS 凭据无效

可能原因:

  • 访问密钥过期
  • 权限不足
  • 区域配置错误

解决方案:

  1. 验证 AWS 凭据有效性
  2. 检查 IAM 权限策略
  3. 确认区域配置
  4. 更新访问密钥

企业网络连接问题

可能原因:

  • 防火墙阻止连接
  • 代理配置错误
  • 证书验证失败

解决方案:

  1. 配置企业代理
  2. 添加 Kiro 域名到白名单
  3. 安装企业证书
  4. 联系网络管理员

诊断工具

连接测试

# 测试 AWS 连接
kiro auth test --provider aws

# 测试 SSO 连接
kiro auth test --provider aws-sso

# 测试网络连接
kiro network test

日志分析

# 查看认证日志
kiro logs auth --level debug

# 查看网络日志
kiro logs network --last 1h

# 导出诊断信息
kiro diagnostic export --include auth,network

迁移和备份

认证配置迁移

  1. 导出当前配置:

    kiro auth export --output config-backup.json

  2. 在新系统上导入:

    kiro auth import --input config-backup.json

多设备同步

  • 使用云存储同步配置文件
  • 配置统一的企业 SSO
  • 使用版本控制管理团队配置

合规性和审计

访问日志

  • 详细的登录/登出记录
  • API 访问日志
  • 权限变更记录
  • 异常活动检测

合规要求

  • SOC 2 Type II 认证
  • GDPR 数据保护合规
  • HIPAA 健康信息保护(企业版)
  • ISO 27001 信息安全管理

页面最后更新:2025年7月21日