本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定和使用 AWS 存取入口網站
AWS 存取入口網站會透過 IAM Identity Center 將您的人力資源連線至 AWS 帳戶 和雲端應用程式。管理員設定入口網站和管理使用者存取,而最終使用者登入一次,無縫存取其所有授權的資源。
AWS 存取入口網站提供單一登入存取:
+ AWS 帳戶 在您的組織中。
+ AWS 受管應用程式,例如 Amazon Quick 和 Kiro。
+ Office 365、Concur、Salesforce 等雲端應用程式。
當使用者登入入口網站時,他們會找到他們獲授權存取的 AWS 帳戶 和 應用程式,而無需額外的登入。
## AWS 存取入口網站入門
**對於管理員:**
您需要對[組織執行個體](organization-instances-identity-center.md)或 IAM Identity Center [帳戶執行個體](account-instances-identity-center.md)的管理存取權,才能設定 AWS 存取入口網站和管理使用者存取權。
1. 選擇性地自訂 AWS 存取入口網站 URL。
1. 指派使用者存取 AWS 帳戶 和 應用程式。入口網站中會顯示指派 AWS 的資源。
**對於最終使用者:**
您的管理員必須已完成 AWS 存取入口網站設定,並為您提供入口網站 URL 和登入憑證。
1. 從您的管理員取得入口網站 URL (通常是 `https://your-company.awsapps.com/start`)。
1. 使用管理員提供的登入資料登入。
1. 存取入口網站中的資源。
# 設定 AWS 存取入口網站
身為管理員,您可以自訂 AWS 存取入口網站以符合組織的需求,並確保使用者可以輕鬆存取其授權的資源。
## 您可以設定的內容
**AWS 存取入口網站啟用**:設定 AWS 存取入口網站的初始使用者存取,包括使用者憑證啟用和首次登入程序。
**自訂 AWS 存取入口網站 URL (選用)**:將組織的 AWS 存取入口網站 URL 從預設格式 (`d-xxxxxxxxxx.awsapps.com/start`) 個人化為可辨識的子網域 ()`your-company.awsapps.com/start`。
**開始之前**
確定您擁有 IAM Identity Center 的管理存取權、確認 IAM Identity Center 已設定為[組織執行個體](organization-instances-identity-center.md)或[帳戶執行個體](account-instances-identity-center.md),並規劃您的自訂子網域名稱 (此為一次性組態,稍後無法變更)。
設定完成後,使用者可以使用自訂 URL 存取 AWS 存取入口網站,並遵循您為組織建立的啟用程序。
**Topics**
+ [
## 您可以設定的內容
](#what-you-can-configure)
+ [
# 為第一次 IAM Identity Center 使用者啟用 AWS 存取入口網站
](howtoactivateaccount.md)
+ [
# 自訂 AWS 存取入口網站 URL
](howtochangeURL.md)
+ [
# 確認使用者可以登入 AWS 存取入口網站
](howtosigninprocedure.md)
# 為第一次 IAM Identity Center 使用者啟用 AWS 存取入口網站
如果這是您第一次嘗試登入 AWS 存取入口網站,請檢查您的電子郵件,以取得如何啟用使用者登入資料的指示。
**啟用您的使用者登入資料**
1. 根據您從公司收到的電子郵件,選擇下列其中一種方法來啟用您的使用者登入資料,以便您可以開始使用 AWS 存取入口網站。
1. 如果您收到一封電子郵件,其中包含**加入 AWS IAM Identity Center 的邀請**主旨,請開啟並選擇**接受邀請**。在**新增使用者註冊**頁面上,輸入並確認密碼,然後選擇**設定新密碼**。每次您登入入口網站時,都會使用該密碼。
1. 如果您收到來自公司 IT 支援或 IT 管理員的電子郵件,請遵循他們提供的指示來啟用您的使用者登入資料。
1. 在您提供新密碼來啟用使用者登入資料後, AWS 存取入口網站會自動登入。如果未發生這種情況,您可以使用 中提供的指示手動登入 AWS 存取入口網站[登入 AWS 存取入口網站](howtosignin.md)。
# 自訂 AWS 存取入口網站 URL
根據預設,您可以使用遵循此格式的 URL 來存取 AWS 存取入口網站:`d-xxxxxxxxxx.awsapps.com/start`。您可以自訂 URL,如下所示:`your_subdomain.awsapps.com/start`。
**重要**
如果您變更 AWS 存取入口網站 URL,您稍後就無法編輯。
**自訂您的 URL**
1. 在 https://[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) 開啟 AWS IAM Identity Center 主控台。
1. 在 IAM Identity Center 主控台中,選擇導覽窗格中的**儀表板**,然後找到**設定摘要**區段。
1. 選擇 AWS 存取入口網站 URL 下方的**自訂**按鈕。
**注意**
如果未顯示**自訂**按鈕,表示已自訂 AWS 存取入口網站。自訂 AWS 存取入口網站 URL 是無法反轉的一次性操作。
1. 輸入所需的子網域名稱,然後選擇**儲存**。
您現在可以使用自訂 URL 透過 AWS 存取入口網站登入 AWS 主控台。
# 確認使用者可以登入 AWS 存取入口網站
下列步驟適用於 IAM Identity Center 管理員,以確認 IAM Identity Center 使用者可以登入 AWS 存取入口網站並存取 AWS 帳戶。
**登入 AWS 存取入口網站**
1. 執行下列其中一項操作來登入 AWS 管理主控台。
+ **新使用者 AWS (根使用者)** – 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者的身分登入。在下一頁中,輸入您的密碼。
+ **已使用 AWS (IAM 登入資料)** – 使用您的 IAM 登入資料登入,然後選取管理員角色。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在導覽窗格中,選擇 **Dashboard (儀表板)**。
1. 在**儀表板**頁面**的設定摘要**下,選擇 AWS 存取入口網站 URL。
1. 使用下列其中一項登入:
+ 如果您使用 Active Directory 或外部身分提供者 (IdP) 做為身分來源,請使用 Active Directory 或 IdP 使用者的登入資料登入。
+ 如果您使用預設的 Identity Center 目錄做為身分來源,請使用您在建立使用者時指定的使用者名稱,以及您為使用者指定的新密碼來登入。
1. 在**帳戶**索引標籤中,找到 AWS 帳戶 並展開您的 。
1. 隨即顯示您可用的角色。例如,如果您同時獲指派 **AdministratorAccess** 許可集和 **Billing** 許可集,這些角色會顯示在 AWS 存取入口網站中。選擇您要用於工作階段的 IAM 角色名稱。
1. 如果您被重新導向至 AWS 管理主控台,您已成功完成對 的存取設定 AWS 帳戶。
**注意**
如果您未看到任何**AWS 帳戶**列出的項目,則使用者可能尚未指派給該帳戶的許可集。如需將使用者指派給許可集的指示,請參閱 [將使用者或群組存取權指派給 AWS 帳戶](assignusers.md)。
現在您已確認可以使用 IAM Identity Center 登入資料登入,請切換到用來登入 的瀏覽器, AWS 管理主控台 並從根使用者或 IAM 使用者登入資料登出。
**重要**
強烈建議您在登入 AWS 存取入口網站時,使用 IAM Identity Center 管理使用者的登入資料來執行管理任務,而不是使用 IAM 使用者或根使用者登入資料。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。若要讓其他使用者存取您的帳戶和應用程式,以及管理 IAM Identity Center,請僅透過 IAM Identity Center 建立和指派許可集。
# 使用 AWS 存取入口網站
您可以在入口網站中選擇 AWS 帳戶 或 應用程式索引標籤來啟動多個應用程式。 AWS 存取入口網站中存在應用程式圖示,表示您公司的管理員已授予您存取這些 AWS 帳戶 或應用程式的權限。這也表示您可以從存取入口網站 AWS 存取所有這些帳戶或應用程式,而無需額外的登入提示。
## 如何使用 AWS 存取入口網站
若要使用 AWS 存取入口網站:
1. 從您的管理員**取得入口網站 URL** (通常看起來像 `https://your-company.awsapps.com/start`)。
1. 使用管理員提供的登入資料**登入**。
1. 在入口網站中選擇您要存取**的帳戶和應用程式**。
您的管理員會根據您的角色和許可,控制您在入口網站中看到的內容。在這些情況下,請聯絡您的管理員以請求額外的存取權:
+ 您看不到需要存取的 AWS 帳戶 或 應用程式。
+ 您對指定帳戶或應用程式的存取不符合您的預期。
**Topics**
+ [
## 如何使用 AWS 存取入口網站
](#how-to-use-access-portal)
+ [
# 登入 AWS 存取入口網站
](howtosignin.md)
+ [
# 重設您的 AWS 存取入口網站使用者密碼
](resetpassword-accessportal.md)
+ [
# 取得 AWS CLI AWS SDKs 的 IAM Identity Center 使用者憑證
](howtogetcredentials.md)
+ [
# 建立 AWS 管理主控台 目的地的捷徑連結
](createshortcutlink.md)
+ [
# 為您的裝置註冊 MFA
](user-device-registration.md)
+ [
# 檢視和結束作用中工作階段
](end-user-how-to-end-active-sessions-accessportal.md)
# 登入 AWS 存取入口網站
AWS 存取入口網站透過 Web 入口網站,為 IAM Identity Center 使用者提供其所有指派 AWS 帳戶 和應用程式的單一登入存取權。以下概述如何登入 AWS 存取入口網站、登入提示,以及如何登出 AWS 存取入口網站。
**先決條件**
必須啟用 IAM Identity Center 才能使用 AWS 存取入口網站。如需詳細資訊,請參閱[啟用 IAM Identity Center](enable-identity-center.md)。
**注意**
登入後, AWS 存取入口網站工作階段的預設持續時間為 8 小時。請注意,管理員可以[變更此工作階段的持續時間](configure-user-session.md)。
## 登入 AWS 存取入口網站
**登入 AWS 存取入口網站**
1. 在瀏覽器視窗中,貼上您提供的登入 URL,然後選擇 **Enter**。URL 看起來像 `d-xxxxxxxxxx.awsapps.com/start`或 `your_subdomain.awsapps.com/start`。我們建議您立即將此入口網站的連結設定成書籤,以便日後可以快速存取。
1. 使用您的標準公司登入憑證登入。
**注意**
如果您的管理員傳送電子郵件一次性密碼 (OTP),而這是您第一次登入,請輸入該密碼。登入後,您必須為未來的登入建立新密碼。
如果系統提示您輸入**驗證碼**,請檢查您的電子郵件,然後將程式碼複製並貼到登入頁面。
**注意**
驗證碼通常透過電子郵件傳送,但交付方法可能有所不同。如需詳細資訊,請洽詢您的管理員。
1. 登入後,您可以存取入口網站中顯示的任何 AWS 帳戶 和 應用程式。
## 信任的裝置
當您選擇 選項 **這是來自登入頁面的受信任裝置**時,IAM Identity Center 會將該裝置的所有未來登入視為已授權。這表示只要您使用該受信任裝置,IAM Identity Center 就不會顯示在 MFA 代碼中輸入 的選項。不過,有一些例外狀況,包括從新瀏覽器登入,或您的裝置獲發不明 IP 地址。
## AWS 存取入口網站的登入提示
以下是一些可協助您管理 AWS 存取入口網站體驗的秘訣。
+ 有時,您可能需要登出並重新登入 AWS 存取入口網站。這對於存取管理員最近指派給您的新應用程式,可能是必要步驟。不過,這不是必要的,因為所有新應用程式每小時都會重新整理。
+ 當您登入 AWS 存取入口網站時,您可以選擇應用程式的圖示來開啟入口網站中列出的任何應用程式。使用應用程式完成後,您可以關閉應用程式或登出 AWS 存取入口網站。關閉應用程式只會登出該應用程式。您從 AWS 存取入口網站開啟的任何其他應用程式都會保持開啟並執行。
+ 您必須先登出 AWS 存取入口網站,才能以不同的使用者身分登入。從入口網站登出會從瀏覽器工作階段完全移除您的登入資料。
+ 登入 AWS 存取入口網站後,您可以切換到角色。切換角色會暫時保留原始使用者許可,並改為給予您指派給角色的許可。 如需詳細資訊,請參閱[切換到角色 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html?icmpid=docs_iam_console)。
## 登出 AWS 存取入口網站
從入口網站登出時,您的登入資料會從瀏覽器工作階段中完全移除。如需詳細資訊,請參閱 *AWS 登入*指南中的[登出 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/aws-access-portal-signing-out-iam-identity-center-user.html)。
**登出 AWS 存取入口網站**
+ 在 AWS 存取入口網站中,從導覽列中選擇**登出**。
**注意**
如果您想要以不同使用者身分登入,您必須先登出 AWS 存取入口網站。
# 重設您的 AWS 存取入口網站使用者密碼
AWS 存取入口網站可讓 [IAM Identity Center](what-is.md) 使用者透過 Web 入口網站,透過單一登入存取其所有指派 AWS 的帳戶和雲端應用程式。 AWS 存取入口網站不同於 [AWS 管理主控台](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/learn-whats-new.html),這是用於管理 AWS 資源的服務主控台集合。
使用此程序來重設 AWS 存取入口網站的 IAM Identity Center 使用者密碼。請參閱[《 使用者指南》,進一步了解 使用者類型](https://docs.aws.amazon.com//signin/latest/userguide/user-types-list.html)。 *AWS 登入 *
**考量事項**
您 AWS 存取入口網站的重設密碼功能僅適用於使用 Identity Center 目錄或[AWS Managed Microsoft AD](gs-ad.md)做為其身分來源的 Identity Center 執行個體使用者。如果您的使用者連接到外部身分提供者或 [AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html),則必須從外部身分提供者或連接的 完成使用者密碼重設Active Directory。
+ 如果您的身分來源是 **IAM Identity Center 目錄**,請參閱 [在 IAM Identity Center 中管理身分時的密碼需求](password-requirements.md)。
+ 如果您的身分來源是 **AWS Managed Microsoft AD**,請參閱[在 中重設密碼時的密碼要求 AWS Managed Microsoft AD](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_password_policies.html#how_password_policies_applied)。
**將密碼重設為 AWS 存取入口網站**
1. 開啟 Web 瀏覽器,並前往 AWS 存取入口網站的登入頁面。
如果您沒有 AWS 存取入口網站 URL,請檢查您的電子郵件。您應該已透過電子郵件收到加入 AWS IAM Identity Center 的邀請,其中包含 AWS 存取入口網站的特定登入 URL。或者,您的管理員可能已直接為您提供一次性密碼和 AWS 存取入口網站 URL。如果您找不到此資訊,請要求管理員將其傳送給您。
如需登入 AWS 存取入口網站的詳細資訊,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com//signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
1. 輸入您的**使用者名稱**,然後選擇**下一步**。
1. 在**密碼**下,選擇**忘記密碼**。
驗證您的**使用者名稱**,並輸入所提供影像的字元,以確認您不是機器人。然後選擇**下一步**。如果您無法輸入字元,您可能需要停用廣告封鎖程式軟體。
1. 隨即出現一則訊息,確認已傳送重設密碼電子郵件。選擇**繼續**。
1. 您會收到來自 的電子郵件,`no-reply@signin.aws`其中包含**請求的主體密碼重設**。在電子郵件中,選擇**重設密碼**。
1. 在**重設密碼**頁面上,驗證您的**使用者名稱**,為 AWS 存取入口網站指定新密碼,然後選擇**設定新密碼**。
1. 您會收到來自 的電子郵件`no-reply@signin.aws`,主旨行**密碼已更新**。
**注意**
管理員可以透過傳送電子郵件給您來重設密碼,或產生一次性密碼並與您共用。如果您是管理員,請參閱[重設最終使用者的 IAM Identity Center 使用者密碼](reset-password-for-user.md)。
# 取得 AWS CLI AWS SDKs 的 IAM Identity Center 使用者憑證
您可以使用 AWS Command Line Interface 或 AWS 軟體開發套件 (SDKs) 搭配 IAM Identity Center 的使用者憑證,以程式設計方式存取 AWS 服務。本主題說明如何在 IAM Identity Center 中取得使用者的臨時登入資料。
AWS 存取入口網站為 IAM Identity Center 使用者提供存取其 AWS 帳戶 和雲端應用程式的單一登入。以 IAM Identity Center 使用者身分登入 AWS 存取入口網站後,您可以取得臨時登入資料。然後,您可以在 AWS CLI AWS SDKs 中使用登入資料,也稱為 IAM Identity Center 使用者登入資料,以存取 中的資源 AWS 帳戶。
如果您使用 AWS CLI 以程式設計方式存取 AWS 服務,您可以使用本主題中的程序來啟動對 的存取 AWS CLI。如需 的詳細資訊 AWS CLI,請參閱[AWS Command Line Interface 《 使用者指南》](https://docs.aws.amazon.com/cli/latest/userguide/gcli-chap-welcome.html)。
如果您使用 AWS SDKs 以程式設計方式存取 AWS 服務,遵循本主題中的程序也會直接建立 AWS SDKs 的身分驗證。如需 AWS SDKs 的相關資訊,請參閱 [AWS SDKs和工具參考指南](https://docs.aws.amazon.com/sdkref/latest/guide/overview.html)。
**注意**
IAM Identity Center 中的使用者與 [IAM 使用者](https://docs.aws.amazon.com/cli/latest/userguide/id_users.html)不同。IAM 使用者會獲得 AWS 資源的長期登入資料。IAM Identity Center 中的使用者會獲得臨時登入資料。我們建議您使用暫時登入資料做為存取 的安全最佳實務, AWS 帳戶 因為這些登入資料會在每次登入時產生。
## 先決條件
若要取得 IAM Identity Center 使用者的臨時登入資料,您需要下列項目:
+ **IAM Identity Center 使用者** – 您將以此使用者身分登入 AWS 存取入口網站。您或您的管理員可能會建立此使用者。如需如何啟用 IAM Identity Center 並建立 IAM Identity Center 使用者的詳細資訊,請參閱 [透過 IAM Identity Center 開始使用](getting-started.md)。
+ **使用者存取 AWS 帳戶**- 若要授予 IAM Identity Center 使用者擷取其臨時憑證的許可,您或管理員必須將 IAM Identity Center 使用者指派給[許可集](permissionsetsconcept.md)。許可集存放在 IAM Identity Center 中,並定義 IAM Identity Center 使用者對 的存取層級 AWS 帳戶。如果您的管理員為您建立了 IAM Identity Center 使用者,請他們為您新增此存取權。如需詳細資訊,請參閱[將使用者或群組存取權指派給 AWS 帳戶](assignusers.md)。
+ **AWS CLI 已安裝** – 若要使用暫時登入資料,您必須安裝 AWS CLI。如需相關指示,請參閱《AWS CLI 使用者指南》**中的[安裝或更新 AWS CLI的最新版本](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
## 考量事項
在您完成為 IAM Identity Center 使用者取得臨時登入資料的步驟之前,請記住下列注意事項:
+ **IAM Identity Center 建立 IAM 角色** – 當您將 IAM Identity Center 中的使用者指派給許可集時,IAM Identity Center 會從許可集建立對應的 IAM 角色。由許可集建立的 IAM 角色與在 中建立 AWS Identity and Access Management 的 IAM 角色不同,方式如下:
+ IAM Identity Center 擁有並保護由許可集建立的角色。只有 IAM Identity Center 可以修改這些角色。
+ 只有 IAM Identity Center 中的使用者可以擔任與其指派許可集對應的角色。您無法將許可集存取權指派給 IAM 使用者、IAM 聯合身分使用者或服務帳戶。
+ 您無法修改這些角色的角色信任政策,以允許存取 IAM Identity Center 外部[的主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal)。
如需有關如何取得您在 IAM 中建立之角色的臨時登入資料的資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[使用臨時安全登入資料搭配 AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli)。
+ **您可以設定許可集的工作階段持續時間** – 登入 AWS 存取入口網站後,IAM Identity Center 使用者獲指派的許可集會顯示為可用角色。IAM Identity Center 會為此角色建立單獨的工作階段。此工作階段可以是 1 到 12 小時,取決於為許可集設定的工作階段持續時間。預設工作階段持續時間為一小時。如需詳細資訊,請參閱[設定 的工作階段持續時間 AWS 帳戶](howtosessionduration.md)。
## 取得和重新整理暫時登入資料
您可以自動或手動取得和重新整理 IAM Identity Center 使用者的臨時登入資料。
**Topics**
+ [
### 自動登入資料重新整理 (建議)
](#how-to-get-temp-credentials-automatic)
+ [
### 手動登入資料重新整理
](#how-to-get-temp-credentials-manual)
### 自動登入資料重新整理 (建議)
自動登入資料重新整理使用 Open ID Connect (OIDC) 裝置程式碼授權標準。使用此方法,您可以使用 中的 `aws configure sso`命令直接啟動存取 AWS CLI。您可以使用此命令,自動存取與指派給任何 之任何許可集相關聯的任何角色 AWS 帳戶。
若要存取為 IAM Identity Center 使用者建立的角色,請執行 `aws configure sso`命令,然後從 AWS CLI 瀏覽器視窗授權 。只要您有作用中的 AWS 存取入口網站工作階段, AWS CLI 會自動擷取臨時登入資料,並自動重新整理登入資料。
如需詳細資訊,請參閱*AWS Command Line Interface 《 使用者指南*》中的[使用 設定您的設定檔`aws configure sso wizard`](https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html#sso-configure-profile-token-auto-sso)。
**取得自動重新整理的臨時登入資料**
1. 使用管理員提供的特定登入 URL 登入 AWS 存取入口網站。如果您建立了 IAM Identity Center 使用者, AWS 請傳送電子郵件邀請,其中包含您的登入 URL。如需詳細資訊,請參閱 [登入使用者指南中的登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。 *AWS *
1. 在**帳戶**索引標籤中,找到您要 AWS 帳戶 從中擷取登入資料的 。當您選擇帳戶時,與帳戶相關聯的帳戶名稱、帳戶 ID 和電子郵件地址都會出現。
**注意**
如果您未看到任何**AWS 帳戶**列出的項目,則可能尚未指派給該帳戶的許可集。在這種情況下,請聯絡您的管理員,並要求他們為您新增此存取權。如需詳細資訊,請參閱[將使用者或群組存取權指派給 AWS 帳戶](assignusers.md)。
1. 在帳戶名稱下方,您的 IAM Identity Center 使用者獲指派的許可集會顯示為可用角色。例如,如果您的 IAM Identity Center 使用者指派給帳戶的 **PowerUserAccess** 許可集,該角色會在 AWS 存取入口網站中顯示為 **PowerUserAccess**。
1. 根據角色名稱旁的選項,選擇**存取金鑰**,或選擇**命令列或程式設計存取**。
1. 在**取得登入**資料對話方塊中,根據您安裝 的作業系統,選擇 **macOS 和 Linux**、**Windows** 或 **PowerShell** AWS CLI。
1. 在 **AWS IAM Identity Center 登入資料 (建議)** 下,`SSO Region`會顯示您的 `SSO Start URL`和 。設定已啟用 IAM Identity Center 的設定檔和 `sso-session` 時,需要這些值 AWS CLI。若要完成此組態,請遵循*AWS Command Line Interface 《 使用者指南*》中的[使用 設定設定檔`aws configure sso wizard`](https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html#sso-configure-profile-token-auto-sso)中的指示。
AWS CLI 視需要繼續使用 , AWS 帳戶 直到登入資料過期為止。
### 手動登入資料重新整理
您可以使用手動登入資料重新整理方法來取得與特定 中特定許可集相關聯之角色的臨時登入資料 AWS 帳戶。若要這樣做,請複製並貼上臨時登入資料所需的命令。使用此方法,您必須手動重新整理暫時登入資料。
您可以執行 AWS CLI 命令,直到暫時登入資料過期為止。
**若要取得您手動重新整理的登入資料**
1. 使用管理員提供的特定登入 URL 登入 AWS 存取入口網站。如果您建立了 IAM Identity Center 使用者, AWS 請傳送電子郵件邀請,其中包含您的登入 URL。如需詳細資訊,請參閱 [登入使用者指南中的登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。 *AWS *
1. 在**帳戶**索引標籤中,找到您要 AWS 帳戶 從中擷取存取憑證的 ,然後將其展開以顯示 IAM 角色名稱 (例如**管理員**)。根據 IAM 角色名稱旁的選項,選擇**存取金鑰**或選擇**命令列或程式設計存取**。
**注意**
如果您未看到任何**AWS 帳戶**列出的項目,則可能尚未指派給該帳戶的許可集。在這種情況下,請聯絡您的管理員,並要求他們為您新增此存取權。如需詳細資訊,請參閱[將使用者或群組存取權指派給 AWS 帳戶](assignusers.md)。
1. 在**取得登入**資料對話方塊中,選擇 **MacOS 和 Linux**、**Windows** 或 **PowerShell**,視您安裝 的作業系統而定 AWS CLI。
1. 選擇下列任一選項:
+ **選項 1:設定 AWS 環境變數**
選擇此選項可覆寫所有登入資料設定,包括`credentials`檔案和`config`檔案中的任何設定。如需詳細資訊,請參閱*AWS CLI 《 使用者指南*》中的[設定 的環境變數 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html)。
若要使用此選項,請將命令複製到剪貼簿、將命令貼到您的 AWS CLI 終端機視窗,然後按 **Enter** 設定所需的環境變數。
+ **選項 2:將設定檔新增至您的 AWS 登入資料檔案**
選擇此選項,以使用不同的登入資料集執行命令。
若要使用此選項,請將命令複製到剪貼簿,然後將命令貼到您的共用 AWS `credentials`檔案中,以設定新的具名設定檔。如需詳細資訊,請參閱 *AWS SDKs * [和工具參考指南中的共用組態和登入資料檔案](https://docs.aws.amazon.com/sdkref/latest/guide/file-format.html)。若要使用此登入資料,請在 AWS CLI 命令中指定 `--profile`選項。這會影響使用相同登入資料檔案的所有環境。
+ **選項 3:在您的 AWS 服務用戶端中使用個別值**
選擇此選項可從 AWS 服務用戶端存取 AWS 資源。如需詳細資訊,請參閱[在 AWS上建置的工具](https://aws.amazon.com/tools/)。
若要使用此選項,請將值複製到剪貼簿、將值貼到您的程式碼中,並將它們指派給 SDK 的適當變數。如需詳細資訊,請參閱特定 SDK API 的文件。
# 建立 AWS 管理主控台 目的地的捷徑連結
在 AWS 存取入口網站中建立的捷徑連結會將 IAM Identity Center 使用者帶到 中的特定目的地 AWS 管理主控台、具有特定許可集,以及特定 中的特定目的地 AWS 帳戶。
捷徑連結可為您和您的協作者節省時間。透過包括 AWS 存取入口網站的多頁導覽至 AWS 管理主控台 (例如,Amazon S3 儲存貯體執行個體頁面) 中所需的目的地 URL,您可以使用捷徑連結自動前往相同的目的地。
## 捷徑連結目的地選項
捷徑連結有三個目的地選項,在此處依優先順序列出:
+ (選用) 捷徑連結中 AWS 管理主控台 指定的 中的任何目的地 URL。例如,Amazon S3 儲存貯體執行個體頁面。
+ (選用) 管理員為有問題的許可集設定的轉送狀態 URL。如需設定轉送狀態的詳細資訊,請參閱 [設定轉送狀態以快速存取 AWS 管理主控台](howtopermrelaystate.md)。
+ AWS 管理主控台 首頁。如果您未指定目的地,則預設目的地為 。
**注意**
只有當您已向 IAM Identity Center 進行身分驗證,並已為 AWS 帳戶和目的地 URL 指派必要的許可集時,才會成功自動導覽至目的地。
AWS 存取入口網站包含**建立捷徑**按鈕,可協助您建立可共用的捷徑連結。如果您打算指定目的地 URL (上一個清單中的第一個選項),您可以將 URL 複製到剪貼簿以進行共用。
## 在 AWS 存取入口網站中建立捷徑連結
1. 登入 AWS 存取入口網站時,請選擇**帳戶**索引標籤,然後選擇**建立捷徑**按鈕。
1. 在對話方塊中:
1. AWS 帳戶 使用帳戶 ID 或帳戶名稱選擇 。當您輸入 時,下拉式選單會顯示您可以存取的相符帳戶 IDs 和名稱。您只能選擇您有權存取的帳戶。
1. 選擇性地從下拉式清單中選擇 IAM 角色。這些是為所選帳戶指派給您的許可集。如果您省略選擇角色,系統會提示使用者在使用捷徑連結時,為所選帳戶選取指派給他們的角色。
**注意**
您無法透過捷徑連結授予新存取權。捷徑連結僅適用於已指派給使用者的許可集。如果使用者沒有為帳戶和目的地 URL 指派的必要許可集,則會拒絕他們存取。
1. 選擇性地輸入 AWS 存取入口網站目的地 URL。如果您省略輸入 URL,則會根據先前提到的捷徑連結目的地選項,在使用捷徑連結時自動判斷目的地。
1. 您的捷徑連結會根據您的輸入,在對話方塊底部產生 。選擇**複製 URL** 按鈕。您現在可以使用複製的捷徑連結建立書籤,或與具有相同許可集或其他足夠許可集之相同帳戶的協作者共用書籤。
## 使用 URL 編碼建構安全 AWS 管理主控台 捷徑連結
URL 的所有參數值,包括帳戶 ID、許可集名稱和目的地 URL,都必須以 URL 編碼。
捷徑連結會以下列路徑延伸 AWS 存取入口網站 URL:
`/#/console?account_id=[account_ID]&role_name=[permission_set_name]&destination=[destination_URL]`
傳統 AWS 分割區中的完整 URL 遵循此模式:
**IPv4 端點:**
`https://[your_subdomain].awsapps.com/start/#/console?account_id=[account_ID]&role_name=[permission_set_name]&destination=[destination_URL]`
**雙堆疊端點**
`https://[identity_center_instance_id].portal.[region].app.aws/#/console?account_id=[account_ID]&role_name=[permission_set_name]&destination=[destination_URL]`
以下是範例捷徑連結,`123456789012`使用 `S3FullAccess` 許可集將使用者登入 帳戶,並將他們帶到 S3 主控台首頁:
+ **IPv4 端點:** `https://example.awsapps.com/start/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.aws.amazon.com%2Fs3%2Fhome`
+ **雙堆疊端點:** `https://ssoins-1234567890abcdef.portal.us-east-1.app.aws/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.aws.amazon.com%2Fs3%2Fhome`
+ **(AWS GovCloud (US) Region) IPv4 端點:** `https://start.us-gov-west-1.us-gov-home.awsapps.com/directory/example/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.amazonaws-us-gov.com%2Fs3%2Fhome`
+ **(AWS GovCloud (US) Region) 雙堆疊端點: ** `https://ssoins-1234567890abcdef.portal.us-gov-west-1.app.aws/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.amazonaws-us-gov.com%2Fs3%2Fhome`
# 為您的裝置註冊 MFA
對於 Identity Center 目錄中的使用者,請使用 AWS 存取入口網站中的下列程序來註冊新裝置以進行多重驗證 (MFA)。
**重要**
IAM Identity Center 中的 MFA 目前不支援[外部身分提供者](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)。
## 開始之前
建議您在開始此程序中的步驟之前,先將適當的 Authenticator 應用程式下載至您的裝置。如需可用於 MFA 裝置的應用程式清單,請參閱 [虛擬驗證器應用程式](mfa-types.md#mfa-types-apps)。
## 註冊您的裝置
**註冊您的裝置以搭配 MFA 使用**
1. 登入您的 AWS 存取入口網站。如需詳細資訊,請參閱[登入 AWS 存取入口網站](howtosignin.md)。
1. 在頁面右上角附近,選擇 **MFA 裝置**。
1. 在**多重要素驗證 (MFA) 裝置**頁面上,選擇**註冊裝置**。
**注意**
如果**註冊 MFA 裝置**選項呈現灰色,請聯絡您的管理員以取得註冊裝置的協助。
1. 在**註冊 MFA 裝置**頁面上,選取下列其中一個 MFA 裝置類型,然後遵循指示:
+ **驗證器應用程式**
1. 在**設定驗證器應用程式**頁面上,您可能會注意到新 MFA 裝置的組態資訊,包括 QR 碼圖形。圖形是秘密金鑰的表示,可在不支援 QR 代碼的裝置上手動輸入。
1. 使用實體 MFA 裝置,執行下列動作:
1. 開啟相容的 MFA 驗證器應用程式。如需可與 MFA 裝置搭配使用的已測試應用程式清單,請參閱 [虛擬驗證器應用程式](mfa-types.md#mfa-types-apps)。如果 MFA 應用程式支援多個帳戶 (多個 MFA 裝置),請選擇建立新帳戶 (新的 MFA 裝置) 的選項。
1. 判斷 MFA 應用程式是否支援 QR 代碼,然後在**設定驗證器應用程式**頁面上執行下列其中一項操作:
1. 選擇**顯示 QR 碼**,然後使用應用程式掃描 QR 碼。例如,您可以選擇攝影機圖示或選擇類似於**掃描碼**的選項。然後使用裝置的攝影機掃描程式碼。
1. 選擇**顯示私密金鑰**,然後在 MFA 應用程式中輸入該私密金鑰。
**重要**
當您為 IAM Identity Center 設定 MFA 裝置時,建議您將 QR 碼或私密金鑰的副本儲存在*安全的地方*。如果您遺失電話或必須重新安裝 MFA 驗證器應用程式,這可能會有所幫助。如果發生上述任一情況,您可以快速重新設定應用程式以使用相同的 MFA 組態。
1. 在**設定驗證器應用程式**頁面的**驗證器程式碼**下,輸入目前出現在實體 MFA 裝置上的一次性密碼。
**重要**
產生代碼之後立即提交您的請求。如果您產生程式碼,然後等待太久才提交請求,則 MFA 裝置已成功與您的使用者建立關聯,但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。如果發生這種情況,您可以再次同步裝置。
1. 選擇 **Assign MFA (指派 MFA)**。MFA 裝置現在可以開始產生一次性密碼,現在可以與 搭配使用 AWS。
+ **安全金鑰**或**內建驗證器**
1. 在**註冊使用者的安全金鑰**頁面上,遵循瀏覽器或平台提供的指示。
**注意**
體驗因瀏覽器或平台而異。成功註冊裝置後,您可以將易記的顯示名稱與新註冊的裝置建立關聯。若要變更名稱,請選擇**重新命名**、輸入新名稱,然後選擇**儲存**。
# 檢視和結束作用中工作階段
您可以使用 AWS 存取入口網站來檢視作用中工作階段的清單,並視需要結束一或多個工作階段。
**使用 AWS 存取入口網站結束作用中的工作階段**
1. 登入您的 AWS 存取入口網站。如需詳細資訊,請參閱[登入 AWS 存取入口網站](howtosignin.md)。
1. 在頁面右上角附近,選擇**安全性**。
1. 在**安全**頁面上,**作用中工作階段**旁的括號中的數字會指出您有多少作用中工作階段。選取您要結束的每個工作階段旁的核取方塊,然後選擇**結束工作階段**。
**提示**
對於使用者背景工作階段,您可以依使用工作階段之任務的 Amazon Resource Name (ARN) 搜尋工作階段。在**工作階段類型**清單中,選擇**使用者背景工作階段**,然後在搜尋方塊中輸入任務 ARN。
您只能結束載入的作用中工作階段。如果您有多個工作階段,請選擇**載入更多作用中工作階段**以顯示其他工作階段。
1. 選取您要結束的每個工作階段旁的核取方塊,然後選擇**結束工作階段**。
1. 隨即出現對話方塊,確認您正在結束作用中的工作階段。檢閱資訊,如果您想要繼續,請輸入 `confirm`,然後選擇**結束工作階段**。
1. 系統會將您返回作用中工作階段的清單。會出現綠色通知訊息,指出選取的工作階段已成功結束。