在 AWS 帳戶中建立 IAM 使用者 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 AWS 帳戶中建立 IAM 使用者

重要

IAM 最佳實務建議您要求人類使用者搭配身分提供者使用聯合功能,以便使用臨時憑證存取 AWS,而不是使用具有長期憑證的 IAM 使用者。建議您僅將 IAM 使用者用於聯合身分使用者不支援的特定使用案例

建立 IAM 使用者並讓該使用者執行任務的程序,包含以下步驟:

  1. AWS 管理主控台、AWS CLI、Tools for Windows PowerShell 中,或是使用 AWS API 操作建立使用者。如果您在 AWS 管理主控台 中建立使用者,則會根據您的選擇自動處理步驟 1-4。如果您透過程式設計的方式建立 IAM 使用者,則必須單獨執行每一個步驟。

  2. 根據使用者需要的存取類型,建立使用者的憑證:

    • 啟用主控台存取 (選用):如果使用者需要存取 AWS 管理主控台,請 為使用者建立密碼。針對使用者停用主控台存取可以防止他們使用其使用者名稱和密碼登入 AWS 管理主控台。它不會變更其許可,也不會阻止他們使用擔任的角色來存取主控台。

    提示

    僅建立使用者需要的憑證。例如,對於只需要透過 AWS 管理主控台 存取的使用者,不建立存取金鑰。

  3. 為使用者提供許可,以執行必要的任務。建議您將 IAM 使用者放入群組中,透過連接到這些群組的政策來管理許可。不過,也可以將許可政策直接連接到使用者來授予許可。如果使用主控台來新增使用者,可以將許可從現有使用者複製到新使用者。

    也可以新增許可界限,透過指定可定義使用者可擁有之最大許可的政策來限制使用者的許可。許可界限不會授予任何許可。

    如需建立自訂許可政策以用於授予許可或設定許可界限的說明,請參閱使用客戶管理政策定義自訂 IAM 許可

  4. (選用) 藉由連接標籤將中繼資料新增至使用者。如需有關在 IAM 中使用標籤的詳細資訊,請參閱 AWS Identity and Access Management 資源的標籤

  5. 提供使用者必要的登入資訊。這包括使用者提供這些憑證所在的帳戶登入頁面的密碼和主控台 URL。如需詳細資訊,請參閱 IAM 使用者如何登入 AWS

  6. (選用) 設定使用者的多重要素驗證 (MFA)。MFA 要求使用者每次登入 AWS 管理主控台 時提供一次性使用的代碼。

  7. (選用) 為 IAM 使用者提供許可,以管理他們自己的安全憑證。(根據預設,IAM 使用者沒有管理他們自己的憑證的許可)。如需詳細資訊,請參閱允許 IAM 使用者變更自己的密碼

    注意

    如果使用主控台建立使用者,並選取使用者必須在下次登入時建立新密碼 (建議),則使用者擁有必要的許可。

如需有關建立使用者所需的許可資訊,請參閱 存取 IAM 資源所需的許可

如需為特定使用案例建立 IAM 使用者的說明,請參閱下列主題: