本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 為無法使用 IAM 角色的工作負載建立 IAM 使用者
**重要**
[最佳實務](best-practices.md#lock-away-credentials)是,我們建議您要求人類使用者在存取時使用[臨時登入](id_credentials_temp.md)資料 AWS。
或者,您可以使用 [AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) 來管理使用者身分,包括管理使用者。建議您使用 IAM Identity Center 來管理帳戶的存取權和這些帳戶內的許可。如果使用的是外部身分提供者,也可以在 IAM Identity Center 中設定使用者身分的存取許可。
如果您的使用案例需要具有程式化存取權和長期憑證的 IAM 使用者,則建議您建立程序,以在需要時更新存取金鑰。如需詳細資訊,請參閱[更新存取金鑰](id-credentials-access-keys-update.md)。
若要執行一些帳戶和服務管理任務,必須使用根使用者憑證來登入。若要檢視您必須以根使用者身分登入的任務,請參閱[需要根使用者憑證的任務](id_root-user.md#root-user-tasks)。
## 若要為無法使用 IAM 角色的工作負載建立 IAM 使用者
**最低許可**
若要執行下列步驟,您至少必須擁有下列 IAM 許可:
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateAccessKey`
`iam:CreateGroup`
`iam:CreateServiceSpecificCredential`
`iam:CreateUser`
`iam:GetAccessKeyLastUsed`
`iam:GetAccountPasswordPolicy`
`iam:GetAccountSummary`
`iam:GetGroup`
`iam:GetLoginProfile`
`iam:GetPolicy`
`iam:GetRole`
`iam:GetUser`
`iam:ListAccessKeys`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListInstanceProfilesForRole`
`iam:ListMFADevices`
`iam:ListPolicies`
`iam:ListRoles`
`iam:ListRoleTags`
`iam:ListSSHPublicKeys`
`iam:ListServiceSpecificCredentials`
`iam:ListSigningCertificates`
`iam:ListUserPolicies`
`iam:ListUserTags`
`iam:ListUsers`
`iam:UploadSSHPublicKey`
`iam:UploadSigningCertificate`
------
#### [ Console ]
1. 按照《AWS 登入使用者指南》**[如何登入 AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 主題中適合您使用者類型的登入程序操作。
1. 在 **IAM 主控台首頁**的左側導覽窗格中,在**搜尋 IAM** 文字方塊中輸入查詢。
1. 在導覽窗格中,選擇**使用者**,然後選擇**建立新使用者**。
1. 在**指定詳細資訊**頁面上,執行下列動作:
1. 對於**使用者名稱**,輸入 ***WorkloadName***。將 ***WorkloadName*** 替換為將使用帳戶的工作負載的名稱。
1. 選擇**下一步**。
1. 在**設定許可**頁面上,執行下列動作:
1. 選擇**將使用者新增至群組**。
1. 選擇**建立群組**。
1. 在**建立使用者群組**對話方塊的**使用者群組名稱**中,輸入代表工作負載在群組中的用途的名稱。在此範例中,使用名稱 **Automation**。
1. 在**許可政策**下,選取 **PowerUserAccess** 受管政策的核取方塊。
**提示**
在**許可政策**搜尋方塊中輸入 *Power*,以快速尋找受管政策。
1. 選擇**建立使用者群組**。
1. 回到包含 IAM 群組清單的頁面,選取新使用者群組的核取方塊。如果沒有在清單中看到新使用者群組,選擇**重新整理**。
1. 選擇**下一步**。
1. (選用) 在**標籤**區段,透過將標籤做為鍵值對連接,將中繼資料新增到使用者。如需詳細資訊,請參閱 [AWS Identity and Access Management 資源的標籤](id_tags.md)。
1. 驗證新使用者的使用者群組成員資格。準備好繼續時,選擇**建立使用者**。
1. 此時將顯示一則狀態通知,告知您使用者已成功建立。選取**檢視使用者**以前往使用者詳細資訊頁面
1. 選取**安全憑證**索引標籤。然後建立工作負載所需的憑證。
+ **存取金鑰**:選取**建立存取金鑰**可產生並為使用者下載存取金鑰。
**重要**
這是您檢視或下載私密存取金鑰的唯一機會,您必須先將此資訊提供給使用者,然後他們才能使用 AWS API。請將使用者的新存取金鑰 ID 和私密存取金鑰存放在安全處。**在此步驟之後,您將無法再存取該私密金鑰。**
+ **的 SSH 公有金鑰 AWS CodeCommit** – 選取**上傳 SSH 公有金鑰**以上傳 SSH 公有金鑰,讓使用者可以透過 SSH 與 CodeCommit 儲存庫通訊。
+ **的 HTTPS Git 登入資料 AWS CodeCommit** – 選取**產生登入資料**以產生一組唯一的使用者登入資料,以便與 Git 儲存庫搭配使用。選取**下載憑證**可將使用者名稱和密碼儲存至 .csv 檔案。這是唯一可取得資訊的時機。如果忘記或遺失密碼,則需要重設。
+ **Amazon Keyspaces (適用於 Apache Cassandra) 的憑證**:選取**產生憑證**產生服務特定的使用者憑證,以搭配 Amazon Keyspaces 使用。選取**下載憑證**可將使用者名稱和密碼儲存至 .csv 檔案。這是唯一可取得資訊的時機。如果忘記或遺失密碼,則需要重設。
**重要**
服務特定憑證是與特定 IAM 使用者關聯的長期憑證,只能用於為其建立的服務。若要授予 IAM 角色或聯合身分使用暫時登入資料存取所有 AWS 資源的許可,請使用身分 AWS 驗證搭配 Amazon Keyspaces 的 SigV4 身分驗證外掛程式。如需詳細資訊,請參閱《Amazon Keyspaces (適用於 Apache Cassandra) 開發人員指南》**中的[透過 IAM 角色和 SigV4 外掛程式使用臨時憑證連線到 Amazon Keyspaces (適用於 Apache Cassandra)](https://docs.aws.amazon.com/keyspaces/latest/devguide/access.credentials.html#temporary.credentials.IAM)。
+ **X.509 簽署憑證** – 如果您需要提出安全的 SOAP 通訊協定請求,且位於 不支援的區域,請選取**建立 X.509 憑證** AWS Certificate Manager。ACM 為佈建、管理和部署伺服器憑證的首選工具。如需有關使用 ACM 的詳細資訊,請參閱《AWS Certificate Manager 使用者指南》[https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。
您已建立具有程式化存取權的使用者,並使用 **PowerUserAccess** 任務函數對其進行設定。此使用者的許可政策授予每個服務的完整存取權,IAM 和 除外 AWS Organizations。
如果工作負載無法擔任 IAM 角色,您可以使用這個相同的程序,讓其他工作負載以程式設計方式存取您的 AWS 帳戶 資源。此程序使用 **PowerUserAccess** 受管政策指派許可。若要遵循最低權限的最佳實務,請考慮使用更嚴格的政策或建立自訂政策,限制僅存取程式所需的資源。若要了解如何使用將使用者許可限制為特定 AWS 資源的政策,請參閱 [AWS 資源的存取管理](access.md)和 [以身分為基礎的 IAM 政策範例](access_policies_examples.md)。若要在建立使用者群組之後向其中新增其他使用者,請參閱[編輯 IAM 群組中的使用者](id_groups_manage_add-remove-users.md)。
------
#### [ AWS CLI ]
1. 建立名為 **Automation** 的使用者。
+ [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)
```
aws iam create-user \
--user-name Automation
```
1. 建立名為 的 IAM 使用者群組**AutomationGroup**,將 AWS 受管政策連接至`PowerUserAccess`群組,然後將**Automation**使用者新增至群組。
**注意**
「AWS 受管政策」**為獨立的政策,由 AWS建立並管理。每個政策都有自己的 Amazon Resource Name (ARN),其中包含政策名稱。例如, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` 是 AWS 受管政策。如需有關 ARN 的詳細資訊,請參閱 [IAM ARN](reference_identifiers.md#identifiers-arns)。如需 的 AWS 受管政策清單 AWS 服務,請參閱 [AWS 受管政策](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html)。
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)
```
aws iam create-group \
--group-name AutomationGroup
```
+ [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
```
aws iam attach-group-policy \
--policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
--group-name AutomationGroup
```
+ [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)
```
aws iam add-user-to-group \
--user-name Automation \
--group-name AutomationGroup
```
+ 執行 [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) 命令會列出 **AutomationGroup** 及其成員。
```
aws iam get-group \
--group-name AutomationGroup
```
1. 建立工作負載所需的安全憑證。
+ **建立用於測試的存取金鑰** – [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
```
aws iam create-access-key \
--user-name Automation
```
此命令的輸出中包含私密存取金鑰和存取金鑰 ID。記錄此資訊並存放在安全的位置。這些憑證一旦遺失,就無法復原,您必須建立新的存取金鑰。
**重要**
這些 IAM 使用者存取金鑰是長期憑證,會對您的帳戶造成安全風險。完成測試後,建議刪除這些存取金鑰。如果您遇到正在考慮使用存取金鑰的情況,請調查是否可以為工作負載 IAM 使用者啟用 MFA,並使用 [aws sts get-session-token](https://docs.aws.amazon.com/cli/latest/reference/sts/get-session-token.html) 取得工作階段的臨時憑證,而不要使用 IAM 存取金鑰。
+ **上傳 SSH 公有金鑰給 AWS CodeCommit** –[aws iam upload-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-ssh-public-key.html)
下列範例假設您將 SSH 公有金鑰存放在 `sshkey.pub` 檔案中。
```
aws upload-ssh-public-key \
--user-name Automation \
--ssh-public-key-body file://sshkey.pub
```
+ **上傳 X.509 簽署憑證** – [aws iam upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)
如果您需要提出安全的 SOAP 通訊協定請求,且位於 不支援的區域,請上傳 X.509 憑證 AWS Certificate Manager。ACM 為佈建、管理和部署伺服器憑證的首選工具。如需有關使用 ACM 的詳細資訊,請參閱《AWS Certificate Manager 使用者指南》[https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。
下列範例假設您將 X.509 簽署憑證存放在 `certificate.pem` 檔案中。
```
aws iam upload-signing-certificate \
--user-name Automation \
--certificate-body file://certificate.pem
```
如果工作負載無法擔任 IAM 角色,您可以使用這個相同的程序,讓其他工作負載以程式設計方式存取您的 AWS 帳戶 資源。此程序使用 **PowerUserAccess** 受管政策指派許可。若要遵循最低權限的最佳實務,請考慮使用更嚴格的政策或建立自訂政策,限制僅存取程式所需的資源。若要了解如何使用將使用者許可限制為特定 AWS 資源的政策,請參閱 [AWS 資源的存取管理](access.md)和 [以身分為基礎的 IAM 政策範例](access_policies_examples.md)。若要在建立使用者群組之後向其中新增其他使用者,請參閱[編輯 IAM 群組中的使用者](id_groups_manage_add-remove-users.md)。
------