本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM 使用者
<a name="id_users"></a>

**重要**  
 IAM [最佳實務](best-practices.md)建議您要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取 ，而不是使用具有長期憑證的 IAM 使用者。建議您僅將 IAM 使用者用於聯合身分使用者不支援的[特定使用案例](gs-identities-iam-users.md)。

*IAM 使用者*是您在 AWS 帳戶中建立的實體。IAM 使用者表示使用 IAM 使用者與 AWS 資源互動的人類使用者或工作負載。IAM 使用者包含名稱和憑證。

具有管理員許可的 IAM 使用者與 AWS 帳戶根使用者並不相同。如需有關根使用者的詳細資訊，請參閱 [AWS 帳戶根使用者](id_root-user.md)。

## 如何 AWS 識別 IAM 使用者
<a name="id_users_create_aws-identifiers"></a>

當建立 IAM 使用者時，IAM 建立這些方法來識別該使用者：
+ IAM 使用者的「易用名稱」，即您在建立 IAM 使用者時指定的名稱，例如 `Richard` 或 `Anaya`。這些是您在 AWS 管理主控台中看到的名稱。由於 IAM 使用者名稱會顯示在 Amazon Resource Name (ARN) 中，因此不建議在 IAM 名稱中包含個人識別資訊。如需 IAM 名稱的需求和限制，請參閱 [IAM 名稱需求](reference_iam-quotas.md#reference_iam-quotas-names)。
+ IAM 使用者的 Amazon Resource Name (ARN)。當您需要唯一識別所有 的 IAM 使用者時，您可以使用 ARN AWS。例如，在 Amazon S3 儲存貯體的 IAM 政策中，您可以使用 ARN 將 IAM 使用者指定為 `Principal`。IAM 使用者的 ARN 可能如下所示：

  `arn:aws:iam::{{account-ID-without-hyphens}}:user/Richard`
+ IAM 使用者的唯一識別碼。只有在您使用 API、Tools for Windows PowerShell 或 AWS CLI 建立 IAM 使用者時，才會傳回此 ID；您在 主控台中看不到此 ID。

如需有關這些識別碼的詳細資訊，請參閱 [IAM 識別碼](reference_identifiers.md)。

## IAM 使用者和憑證
<a name="id_users_creds"></a>

您可以根據 IAM 使用者登入資料 AWS ，以不同的方式存取 ：
+ [**主控台密碼**](id_credentials_passwords.md)：IAM 使用者可以輸入的密碼，以登入互動式工作階段 (如 AWS 管理主控台)。停用 IAM 使用者的密碼 （主控台存取） 可防止他們 AWS 管理主控台 使用登入憑證登入 。它不會變更其許可，也不會阻止他們使用擔任的角色來存取主控台。已啟用主控台存取的 IAM 使用者也可以使用這些相同的登入資料，使用 `aws login` AWS CLI 命令來驗證 AWS CLI 和 SDK 存取。這些使用者將需要具有 [SignInLocalDevelopmentAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SignInLocalDevelopmentAccess.html) 許可。如需詳細資訊，請參閱*AWS Command Line Interface 《 使用者指南*》中的 [的身分驗證和存取憑證 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html)。
+ [**存取金鑰**](id_credentials_access-keys.md)：用來向 AWS發出程式化呼叫。但在為 IAM 使用者建立存取金鑰之前，您可以考慮其他更安全的替代方案。如需詳細資訊，請參閱 *AWS 一般參考* 中的[長期存取金鑰的考量事項和替代方案](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#alternatives-to-long-term-access-keys)。如果 IAM 使用者具有作用中的存取金鑰，他們會繼續運作並允許透過 AWS CLI、Tools for Windows PowerShell、 AWS API 或 AWS 主控台行動應用程式進行存取。
+ [**與 CodeCommit 一起使用的 SSH 金鑰**](id_credentials_ssh-keys.md)：OpenSSH 格式的 SSH 公有金鑰，可用於透過 CodeCommit 驗證身分。
+ [**伺服器憑證**](id_credentials_server-certs.md)：您可以使用 SSL/TLS 憑證來驗證某些 AWS 服務。建議您使用 AWS Certificate Manager (ACM) 來佈建、管理和部署伺服器憑證。只有當您必須在 ACM 不支援的區域中支援 HTTPS 連接時，才應使用 IAM。如需了解哪些區域支援 ACM，請參閱 *AWS 一般參考* 中的 [AWS Certificate Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/acm.html)。

您可以選擇最適合您 IAM 使用者的憑證。當您使用 AWS 管理主控台 來建立 IAM 使用者，您必須選擇至少包含一個主控台密碼或存取金鑰。根據預設，使用 AWS CLI 或 AWS API 建立的全新 IAM 使用者沒有任何類型的登入資料。您必須根據使用案例，建立 IAM 使用者的憑證類型。

您可以使用以下選項來管理密碼、存取金鑰和多重要素驗證 (MFA) 裝置：
+ **[管理 IAM 使用者的密碼](id_credentials_passwords.md)。**建立和變更允許存取 AWS 管理主控台的密碼。設定密碼政策，以強制執行最低密碼複雜性。允許 IAM 使用者變更自己的密碼。
+ **[管理 IAM 使用者的存取金鑰](id_credentials_access-keys.md)。**建立和更新存取金鑰，以便以程式設計方式存取您帳戶中的資源。
+ **[為 IAM 使用者啟用多重要素驗證 (MFA)](id_credentials_mfa.md)。**根據[最佳實務](best-practices.md)，我們建議您要求帳戶中的所有 IAM 使用者進行多重要素驗證。使用 MFA 時，IAM 使用者需要提供兩種身分驗證形式：首先，提供憑證，那是屬於他們的使用者身分 (密碼或存取金鑰) 的一部分。此外，他們提供硬體裝置或智慧型手機或平板電腦上的應用程式所產生的臨時數字代碼。
+ **[尋找未使用的密碼和存取金鑰](id_credentials_finding-unused.md)。**擁有您帳戶或帳戶中 IAM 使用者的密碼或存取金鑰的任何人都可以存取您的 AWS 資源。安全[最佳實務](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)是在 IAM 使用者不再需要密碼和存取金鑰時將其移除。
+ **[下載您帳戶的憑證報告](id_credentials_getting-report.md)。**您可以產生並下載「憑證報告」，其中會列出帳戶中的所有 IAM 使用者，及其各種憑證的狀態，包括密碼、存取金鑰和 MFA 裝置。對於密碼和存取金鑰、憑證報告會顯示密碼或存取金鑰最近使用的狀況。

## IAM 使用者和許可
<a name="id_users_perms"></a>

在預設情況下，新的 IAM 使用者沒有[許可](access.md)採取任何行動。他們無權執行任何 AWS 操作或存取任何 AWS 資源。擁有個別 IAM 使用者的好處是您可以為每個使用者個別指派許可。您可以指派管理許可給幾個使用者，這些使用者接著可以管理您的 AWS 資源，甚至可以建立和管理其他 IAM 使用者。不過，在大多數情況下，您想要將使用者的許可限制為只有任務所需的任務 (AWS 動作或操作） 和資源。

試想一名叫做 Diego 的使用者。當您建立 IAM 使用者 `Diego` 時，您為該使用者建立一個密碼並連接許可，讓該使用者可以啟動特定 Amazon EC2 執行個體並從 Amazon RDS 資料庫的表格中讀取 (`GET`) 資訊。有關如何建立 IAM 使用者並授予其初始憑證和許可的程序的更多資訊，請參閱 [在 中建立 IAM 使用者 AWS 帳戶](id_users_create.md)。有關如何變更現有使用者的程序的詳細資訊，請參閱 [變更 IAM 使用者的許可](id_users_change-permissions.md)。有關如何變更使用者的密碼或存取金鑰的程序的詳細資訊，請參閱 [中的使用者密碼 AWS](id_credentials_passwords.md) 和 [管理 IAM 使用者的存取金鑰](id_credentials_access-keys.md)。

您也可以新增許可界限到您的 IAM 使用者。許可界限是一項進階功能，可讓您使用 AWS 受管政策來限制身分型政策可授予 IAM 使用者或角色的最大許可。如需有關政策類型及其使用的詳細資訊，請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md)。

## IAM 使用者和帳戶
<a name="id_users_accounts"></a>

每位 IAM 使用者只能與一個 AWS 帳戶建立關聯。由於 IAM 使用者是在您的 中定義 AWS 帳戶，因此他們不需要在 的檔案中有付款方式 AWS。您帳戶中 IAM 使用者執行的任何 AWS 活動都會向您的帳戶收費。

 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊，請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。

## IAM 使用者做為服務帳戶
<a name="id_users_service_accounts"></a>

IAM 使用者是擁有關聯憑證和許可之 IAM 中的資源。IAM 使用者可以代表人員或應用程式，其會使用它的憑證來做出 AWS 請求。這通常稱為「*服務帳戶*」。如果您選擇在您的應用程式使用 IAM 使用者的長期憑證，**請勿在應用程式程式碼中直接內嵌存取金鑰**。 AWS SDKs和 AWS Command Line Interface 可讓您將存取金鑰放在已知位置，讓您不必將其保留在程式碼中。如需詳細資訊，請參閱 *AWS 一般參考* 中的[適當管理 IAM 使用者存取金鑰](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#iam-user-access-keys)。或者，最佳實務的作法是可以[使用臨時安全憑證 (IAM 角色)，而不是長期存取金鑰](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#use-roles)。