管理 IAM 使用者的密碼 - AWS Identity and Access Management
建立、變更或刪除 IAM 使用者密碼 (主控台)

管理 IAM 使用者的密碼

使用 AWS 管理主控台 來運用 AWS 資源的 IAM 使用者必須具有密碼才能登入。您可以建立、更改或刪除您的 AWS 帳戶中 IAM 使用者的密碼。

向使用者分配密碼後,該使用者可使用您的帳戶的登入 URL 來登入 AWS 管理主控台,如下所示:

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

如需有關 IAM 使用者如何登入至 AWS 管理主控台 的詳細資訊,請參閱 《AWS 登入 使用者指南》 中的 如何登入至 AWS

即使使用者有自己的密碼,還是需要許可才能存取您的 AWS 資源。使用者預設沒有任何許可。為授予使用者所需的許可,您可向使用者或使用者所屬的群組分配政策。如需有關建立使用者與群組的詳細資訊,請參閱 IAM 身分 。如需使用政策來設定許可的詳細資訊,請參閱 變更 IAM 使用者的許可

您可以授予使用者變更自己密碼的許可。如需更多詳細資訊,請參閱 允許 IAM 使用者變更自己的密碼。如需有關使用者如何存取您帳戶登入頁面的資訊,請參閱 《AWS 登入 使用者指南》 中的 如何登入 AWS

建立、變更或刪除 IAM 使用者密碼 (主控台)

您可以使用 AWS 管理主控台 來管理 IAM 使用者的密碼。

您的使用者存取需求可能會隨著時間而變更。您可能需要讓打算進行 CLI 存取的使用者能夠存取控制台、變更使用者的密碼 (因為他們收到內含其憑證的電子郵件),或在使用者離開您的組織或不再需要 AWS 存取權限時刪除使用者。

若要建立 IAM 使用者密碼 (主控台)

使用此程序建立與使用者名稱關聯的密碼,以授予使用者主控台存取權。

Console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. IAM 主控台首頁的左側導覽窗格中,在搜尋 IAM 文字方塊中輸入查詢。

  3. 在導覽窗格中,選擇 Users (使用者)。

  4. 選擇您想要為之建立密碼的使用者名稱。

  5. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 啟用主控台存取

  6. 啟用主控台存取對話方塊中,選取重設密碼,然後選擇是否要讓 IAM 產生密碼或建立自訂密碼:

    • 若要讓 IAM 產生密碼,請選擇 Autogenerated password (自動產生的密碼)。

    • 若要建立自訂密碼,請選擇 Custom password (自訂密碼) 並輸入密碼。

      注意

      您建立的密碼必須符合帳戶的密碼政策

  7. 若要要求使用者登入時建立新的密碼,請選擇下次登入時需要變更密碼

  8. 若要要求使用者立即使用新密碼,請選取撤銷作用中主控台工作階段。這會將內嵌政策連接至 IAM 使用者,如果使用者的憑證比政策指定的時間更舊,則會拒絕該使用者存取資源。

  9. 選擇重設密碼

  10. 主控台密碼對話方塊會通知您已啟用使用者的新密碼。若要檢視密碼以便與使用者共用,請選擇主控台密碼對話方塊中的顯示。選取下載 .csv 檔案,以下載具有使用者憑證的檔案。

    重要

    基於安全原因,在完成此步驟後您無法存取該密碼,但您可以隨時建立新密碼。

主控台會顯示狀態訊息,通知您已啟用主控台存取。

為 IAM 使用者變更密碼 (主控台)

使用此程序來更新與使用者名稱關聯的密碼。

Console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. IAM 主控台首頁的左側導覽窗格中,在搜尋 IAM 文字方塊中輸入查詢。

  3. 在導覽窗格中,選擇 Users (使用者)。

  4. 選擇您想要為之變更密碼的使用者名稱。

  5. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 管理主控台存取

  6. 管理主控台存取對話方塊中,選取重設密碼,然後選擇是否要讓 IAM 產生密碼或建立自訂密碼:

    • 若要讓 IAM 產生密碼,請選擇 Autogenerated password (自動產生的密碼)。

    • 若要建立自訂密碼,請選擇 Custom password (自訂密碼) 並輸入密碼。

      注意

      您建立的密碼必須符合帳戶的密碼政策

  7. 若要要求使用者登入時建立新的密碼,請選擇下次登入時需要變更密碼

  8. 若要要求使用者立即使用新密碼,請選取撤銷作用中主控台工作階段。這會將內嵌政策連接至 IAM 使用者,如果使用者的憑證比政策指定的時間更舊,則會拒絕該使用者存取資源。

  9. 選擇重設密碼

  10. 主控台密碼對話方塊會通知您已啟用使用者的新密碼。若要檢視密碼以便與使用者共用,請選擇主控台密碼對話方塊中的顯示。選取下載 .csv 檔案,以下載具有使用者憑證的檔案。

    重要

    基於安全原因,在完成此步驟後您無法存取該密碼,但您可以隨時建立新密碼。

主控台會顯示狀態訊息,通知您已更新主控台存取。

刪除 (停用) IAM 使用者密碼 (主控台)

使用此程序刪除與使用者名稱關聯的密碼,從而移除使用者的主控台存取權。

重要

您可以移除 IAM 使用者的密碼,以防對方存取 AWS 管理主控台。這可以防止他們使用自己的登入資料登入 AWS 管理主控台。它不會變更其許可,也不會阻止他們使用擔任的角色來存取主控台。如果使用者擁有效的存取金鑰,這些金鑰將會繼續運作,並允許透過 AWS CLI、Tools for Windows PowerShell、AWS API,或 AWS Console Mobile Application 存取。

Console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. IAM 主控台首頁的左側導覽窗格中,在搜尋 IAM 文字方塊中輸入查詢。

  3. 在導覽窗格中,選擇 Users (使用者)。

  4. 選擇您想要為之刪除密碼的使用者名稱。

  5. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 管理主控台存取

  6. 若要要求使用者立即停止使用主控台,請選取撤銷作用中主控台工作階段。這會將內嵌政策連接至 IAM 使用者,如果使用者的憑證比政策指定的時間更舊,則會拒絕該使用者存取資源。

  7. 選擇停用存取

主控台會顯示狀態訊息,通知您已停用主控台存取。

建立、變更或刪除 IAM 使用者密碼 (AWS CLI)

您可以使用 AWS CLI API 來管理 IAM 使用者的密碼。

建立密碼 (AWS CLI)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:aws iam get-login-profile

  2. 若要建立密碼,請執行此命令:aws iam create-login-profile

若要變更使用者的密碼 (AWS CLI)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:aws iam get-login-profile

  2. 若要變更密碼,請執行此命令:aws iam update-login-profile

若要刪除 (停用) 使用者的密碼 (AWS CLI)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:aws iam get-login-profile

  2. (選用) 若要判斷密碼前次使用的時間,請執行此命令:aws iam get-user

  3. 若要刪除密碼,請執行此命令:aws iam delete-login-profile

重要

當您刪除使用者密碼時,使用者將無法繼續登入 AWS 管理主控台。如果使用者擁有有效的存取金鑰,他們將繼續運作並允許透過 AWS CLI、Tools for Windows PowerShell 或 AWS API 函數呼叫進行存取。在使用 AWS CLI、Tools for Windows PowerShell 或 AWS API 從您的 AWS 帳戶 中刪除使用者時,您必須先使用此操作來刪除密碼。如需更多詳細資訊,請參閱 刪除 IAM 使用者 (AWS CLI)

在指定時間之前撤銷使用者的作用中主控台工作階段 (AWS CLI)

  1. 若要嵌入內嵌政策,以在指定時間之前撤銷 IAM 使用者的作用中主控台工作階段,請使用下列內嵌政策並執行以下命令:aws iam put-user-policy

    此內嵌政策會拒絕所有許可,並包含 aws:TokenIssueTime 條件索引鍵。它會在內嵌政策的 Condition 元素中指定的時間之前,撤銷使用者的作用中主控台工作階段。將 aws:TokenIssueTime 條件索引鍵值取代為您自己的值。

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (選用) 若要列出嵌入在 IAM 使用者中的內嵌政策名稱,請執行以下命令:aws iam list-user-policies

  3. (選用) 若要檢視嵌入在 IAM 使用者中的具名內嵌政策,請執行以下命令:aws iam get-user-policy

建立、變更或刪除 IAM 使用者密碼 (AWS API)

您可以使用 AWS API 來管理 IAM 使用者的密碼。

建立密碼 (AWS API)

  1. (選用) 若要判斷使用者是否有密碼,請呼叫此操作:GetLoginProfile

  2. 若要建立密碼,請呼叫此操作:CreateLoginProfile

若要變更使用者的密碼 (AWS API)

  1. (選用) 若要判斷使用者是否有密碼,請呼叫此操作:GetLoginProfile

  2. 若要變更密碼,請呼叫此操作:UpdateLoginProfile

若要刪除 (停用) 使用者的密碼 (AWS API)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:GetLoginProfile

  2. (選用) 若要判斷密碼前次使用的時間,請執行此命令:GetUser

  3. 若要刪除密碼,請執行此命令:DeleteLoginProfile

重要

當您刪除使用者密碼時,使用者將無法繼續登入 AWS 管理主控台。如果使用者擁有有效的存取金鑰,他們將繼續運作並允許透過 AWS CLI、Tools for Windows PowerShell 或 AWS API 函數呼叫進行存取。在使用 AWS CLI、Tools for Windows PowerShell 或 AWS API 從您的 AWS 帳戶 中刪除使用者時,您必須先使用此操作來刪除密碼。如需更多詳細資訊,請參閱 刪除 IAM 使用者 (AWS CLI)

在指定時間之前撤銷使用者的作用中主控台工作階段 (AWS API)

  1. 若要內嵌內嵌政策,以在指定時間之前撤銷 IAM 使用者的作用中主控台工作階段,請使用下列內嵌政策並執行以下命令:PutUserPolicy

    此內嵌政策會拒絕所有許可,並包含 aws:TokenIssueTime 條件索引鍵。它會在內嵌政策的 Condition 元素中指定的時間之前,撤銷使用者的作用中主控台工作階段。將 aws:TokenIssueTime 條件索引鍵值取代為您自己的值。

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (選用) 若要列出嵌入在 IAM 使用者中的內嵌政策名稱,請執行以下命令:ListUserPolicies

  3. (選用) 若要檢視嵌入在 IAM 使用者中的具名內嵌政策,請執行以下命令:GetUserPolicy