建立 IAM 使用者以進行緊急存取 - AWS Identity and Access Management
若要建立 IAM 使用者以進行緊急存取

建立 IAM 使用者以進行緊急存取

IAM 使用者是您 AWS 帳戶 中的一種身分,具備單一人員或應用程式的特定許可。

允許 IAM 使用者緊急存取是建立 IAM 使用者的建議原因之一,如此當身分提供者無法存取時,您就可以存取自己的 AWS 帳戶。

注意

我們的安全最佳實務是建議您透過聯合身分來提供資源存取權限,而不是建立 IAM 使用者。若要了解需要 IAM 使用者的特定情形,請參閱建立 IAM 使用者 (而非角色) 的時機

若要建立 IAM 使用者以進行緊急存取

最低許可

若要執行下列步驟,您至少必須擁有下列 IAM 許可:

  • access-analyzer:ValidatePolicy

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateGroup

  • iam:CreateLoginProfile

  • iam:CreateUser

  • iam:GetAccountPasswordPolicy

  • iam:GetLoginProfile

  • iam:GetUser

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

顯示較多顯示較少
Console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. IAM 主控台首頁的左側導覽窗格中,在搜尋 IAM 文字方塊中輸入查詢。

  3. 在導覽窗格中選取使用者,然後選取建立使用者

    注意

    如果您已啟用 IAM Identity Center,則 AWS 管理主控台會顯示一則提醒,建議您在 IAM Identity Center 管理使用者存取權。在此程序中,您建立的 IAM 使用者專門用於身分提供者無法使用的時機。

  4. 指定使用者詳細資訊頁面使用者詳細資訊下方的使用者名稱中,輸入新使用者的名稱。這是新使用者的 AWS 登入名稱。在此範例中,請輸入 EmergencyAccess

    注意

    使用者名稱可以是長達 64 個字母、數字以及這些字元的組合:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、@ 符號、底線 (_) 以及連字號 (-)。名稱在帳戶中必須是唯一的。它們無法透過大小寫進行區分。例如,您不可以建立兩個名為 TESTUSER 和 testuser 的使用者。使用者名稱用在政策中或作為 ARN 的一部分時,名稱區分大小寫。當主控台中的客戶顯示使用者名稱時 (例如在登入程序期間),使用者名稱不區分大小寫。

  5. 選取為使用者提供 AWS 管理主控台存取權 (選用) 旁的核取方塊,然後選擇我想要建立 IAM 使用者

  6. 主控台密碼下選取自動產生的密碼

  7. 清除使用者必須在下次登入時建立新密碼 (建議) 旁的核取方塊。由於此 IAM 使用者是用於緊急存取,因此受信任的管理員會保留密碼,並僅在必要時提供密碼。

  8. 設定許可 頁面的 許可選項 下方選取 新增使用者至群組。然後,在 使用者群組 下方選取 建立群組

  9. 建立使用者群組 頁面的 使用者群組名稱 中輸入EmergencyAccessGroup。然後,在許可政策下方選取 AdministratorAccess

  10. 選取建立使用者群組以返回設定許可頁面。

  11. 使用者群組下方選取先前建立的 EmergencyAccessGroup 的名稱。

  12. 選取下一步以繼續前往檢閱和建立頁面。

  13. 檢閱和建立頁面上檢閱要新增至新使用者的使用者群組成員資格清單。準備好繼續時,請選取建立使用者

  14. 擷取密碼頁面上選取下載 .csv 檔案,以儲存含有使用者憑證資訊 (連線 URL、使用者名稱和密碼) 的 .csv 檔案。

  15. 如果您需要登入 IAM 且無法存取身分提供者,請儲存此檔案以供使用。

新的 IAM 使用者會顯示在使用者清單中。選取使用者名稱連結以檢視使用者詳細資訊。

AWS CLI

  1. 建立名為 EmergencyAccess 的使用者。

    
aws iam create-user \
   --user-name EmergencyAccess

  2. (選用) 提供使用者 AWS 管理主控台存取權。這需要密碼。若要為 IAM 使用者建立密碼,可以使用 --cli-input-json 參數來傳遞包含密碼的 JSON 檔案。還必須為使用者提供您的帳戶登入頁面的 URL。

    • aws iam create-login-profile

       
aws iam create-login-profile \
   --generate-cli-skeleton > create-login-profile.json

    • 在文字編輯器中開啟 create-login-profile.json 檔案並輸入符合密碼政策的密碼,然後儲存檔案。例如:

      
{
 "UserName": "EmergencyAccess",
 "Password": "Ex@3dRA0djs",
 "PasswordResetRequired": false
}

    • 再次使用 aws iam create-login-profile 命令,傳遞 --cli-input-json 參數以指定您的 JSON 檔案。

      
aws iam create-login-profile \
   --cli-input-json file://create-login-profile.json
    注意

    如果在 JSON 檔案中提供的密碼違反帳戶的密碼政策,您會收到 PassworPolicyViolation 錯誤。如果發生這種情況,請檢閱您帳戶的密碼政策,並依循要求更新 JSON 檔案中的密碼。

  3. 建立 EmergencyAccessGroup、將 AWS 受管政策連接至 AdministratorAccess 群組,並將 EmergencyAccess 使用者新增至群組。

    注意

    「AWS 受管政策」為獨立的政策,由 AWS 建立並管理。每個政策都有自己的 Amazon Resource Name (ARN),其中包含政策名稱。例如,arn:aws:iam::aws:policy/IAMReadOnlyAccess 就是 AWS 受管政策。如需有關 ARN 的詳細資訊,請參閱 IAM ARN。如需 AWS 服務的 AWS 受管政策清單,請參閱 AWS 受管政策

    • aws iam create-group 

      
aws iam create-group \
   --group-name EmergencyAccessGroup

    • aws iam attach-group-policy

      
aws iam attach-group-policy \
   --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
   --group-name >EmergencyAccessGroup

    • aws iam add-user-to-group 

      
aws iam add-user-to-group \
   --user-name EmergencyAccess \
   --group-name EmergencyAccessGroup

    • 執行 aws iam get-group 命令會列出 EmergencyAccessGroup 及其成員。

      
aws iam get-group \
   --group-name EmergencyAccessGroup