管理 IAM 使用者的密碼 - AWS Identity and Access Management
建立、變更或刪除IAM使用者密碼 (主控台)建立、變更或刪除IAM使用者密碼 (AWS CLI)建立、變更或刪除IAM使用者密碼 (AWS API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 IAM 使用者的密碼

IAM使用 AWS Management Console 來處理 AWS 資源的使用者必須有密碼才能登入。您可以為帳戶中的IAM使用者建立、變更或刪除密 AWS 碼。

將密碼指派給使用者之後,使用者可以 AWS Management Console 使用您帳戶的登入登入URL來登入,如下所示:

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

如需有關使IAM用者如何登入的詳細資訊 AWS Management Console,請參閱《使用AWS 登入 者指南》 AWS中的如何登入

即使使用者有自己的密碼,還是需要許可才能存取您的 AWS 資源。使用者預設沒有任何許可。為授予使用者所需的許可,您可向使用者或使用者所屬的群組分配政策。如需有關建立使用者與群組的詳細資訊,請參閱 IAM 身分 。如需使用政策來設定許可的詳細資訊,請參閱 變更IAM使用者的許可

您可以授予使用者變更自己密碼的許可。如需詳細資訊,請參閱允許IAM使用者變更自己的密碼。如需有關使用者如何存取您帳戶登入頁面的資訊,請參閱 《AWS 登入 使用者指南》 中的 如何登入 AWS

建立、變更或刪除IAM使用者密碼 (主控台)

您可以使用 AWS Management Console 來管理使用IAM者的密碼。

當使用者離開您的組織或不再需要 AWS 存取權時,請務必尋找他們正在使用的認證,並確保他們不再運作。在理想情況下,如果不再需要可刪除憑證。有需要時,您隨時可以在日後重新建立它們。至少也應變更憑證,讓前任持有者無法再繼續存取。

若要為IAM使用者新增密碼 (主控台)

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為之建立密碼的使用者名稱。

  4. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 啟用主控台存取

  5. [啟用主控台存取權] 中,對於 [主控台密碼],選擇是否要IAM產生密碼或建立自訂密碼:

    • 若要IAM產生密碼,請選擇「自動產生密碼」。

    • 若要建立自訂密碼,請選擇 Custom password (自訂密碼) 並輸入密碼。

      注意

      您建立的密碼必須符合帳戶的密碼政策

  6. 若要要求使用者登入時建立新的密碼,請選擇 使用者必須在下次登入時建立新的密碼。然後選擇「啟用控制台訪問

    重要

    若您選取 使用者必須在下次登入時建立新的密碼 選項,請確認使用者擁有更改密碼的許可。如需詳細資訊,請參閱允許IAM使用者變更自己的密碼

  7. 若要檢視密碼以便與使用者共用,請在 [主控台密碼] 對話方塊中選擇 [顯示]。

    重要

    基於安全原因,在完成此步驟後您無法存取該密碼,但您可以隨時建立新密碼。

若要變更使IAM用者的密碼 (主控台)

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為之變更密碼的使用者名稱。

  4. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 管理主控台存取

  5. 在 [管理主控台存取] 中,選擇 [重設密碼 (如果尚未選取) 如果停用主控台存取權,則不需要密碼。

  6. 對於主控台存取,請選擇是否要IAM產生密碼或建立自訂密碼:

    • 若要IAM產生密碼,請選擇「自動產生密碼」。

    • 若要建立自訂密碼,請選擇 Custom password (自訂密碼) 並輸入密碼。

      注意

      如果目前已設定密碼,您建立的密碼必須符合帳戶的密碼政策

  7. 若要要求使用者登入時建立新的密碼,請選擇 使用者必須在下次登入時建立新的密碼

    重要

    若您選取 使用者必須在下次登入時建立新的密碼 選項,請確認使用者擁有更改密碼的許可。如需詳細資訊,請參閱允許IAM使用者變更自己的密碼

  8. 若要撤銷使用者的作用中主控台工作階段,請選擇「撤銷作用中主控台 接著選擇 Apply (套用)

    當您撤銷使用者的作用中主控台工作階段時,會將新的內嵌政策IAM附加至拒絕所有動作的所有權限的使用者。它包含一個條件,只有在您撤銷權限的時間點之前建立工作階段,以及 future 大約 30 秒時,才會套用限制。如果使用者在您撤銷權限後建立新的工作階段,則拒絕原則不會套用至該使用者。如果使用者使用此方法撤銷自己的作用中主控台工作階段,則會立即從. AWS Management Console

    重要

    若要成功撤銷使用者的作用中主控台工作階段,您必須擁有該使用者的PutUserPolicy權限。這可讓您將AWSRevokeOlderSessions內嵌原則附加至使用者。

  9. 若要檢視密碼以便與使用者共用,請在 [主控台密碼] 對話方塊中選擇 [顯示]。

    重要

    基於安全原因,在完成此步驟後您無法存取該密碼,但您可以隨時建立新密碼。

刪除 (停用) 使用IAM者密碼 (主控台)

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為之刪除密碼的使用者名稱。

  4. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 管理主控台存取

  5. 在 [管理主控台存取] 中,選擇 [停用主控台存取 (如果尚未選取 如果停用主控台存取權,則不需要密碼。

  6. 若要撤銷使用者的作用中主控台工作階段,請選擇「撤銷作用中主控台 然後選擇禁用訪問

    重要

    若要成功撤銷使用者的作用中主控台工作階段,您必須擁有該使用者的PutUserPolicy權限。這可讓您將AWSRevokeOlderSessions內嵌原則附加至使用者。

    當您撤銷使用者的作用中主控台工作階段時,IAM會在使用者中內嵌新的IAM內嵌政策,拒絕所有動作的所有權限。它包含一個條件,只有在您撤銷權限的時間點之前建立工作階段,以及 future 大約 30 秒時,才會套用限制。如果使用者在您撤銷權限後建立新的工作階段,則拒絕原則不會套用至該使用者。如果使用者使用此方法撤銷自己的作用中主控台工作階段,則會立即從. AWS Management Console

重要

您可以 AWS Management Console 透過移除其密碼來防止IAM使用者存取。這樣可以防止他們 AWS Management Console 使用其登錄憑據登錄。它不會變更其許可,也不會阻止他們使用擔任的角色來存取主控台。如果使用者具有作用中的存取金鑰,他們會繼續運作並允許透過 Windows PowerShell 工具或 AWS Console Mobile Application 用程式進行存取。 AWS CLI AWS API

建立、變更或刪除IAM使用者密碼 (AWS CLI)

您可以使用 AWS CLI API來管理使用IAM者的密碼。

建立密碼 (AWS CLI)

  1. (可選)要確定用戶是否有密碼,請運行以下命令:aws iam get-login-profile

  2. 要創建密碼,請運行以下命令:aws iam create-login-profile

若要變更使用者的密碼 (AWS CLI)

  1. (可選)要確定用戶是否有密碼,請運行以下命令:aws iam get-login-profile

  2. 要更改密碼,請運行以下命令:aws iam update-login-profile

若要刪除 (停用) 使用者的密碼 (AWS CLI)

  1. (可選)要確定用戶是否有密碼,請運行以下命令:aws iam get-login-profile

  2. (選用) 若要判斷密碼前次使用的時間,請執行此命令:aws iam get-user

  3. 要刪除密碼,請運行以下命令:aws iam delete-login-profile

重要

當您刪除使用者密碼時,使用者將無法繼續登入 AWS Management Console。如果使用者具有使用中的存取金鑰,他們會繼續運作並允許透過 Windows PowerShell 工具或 AWS API函數呼叫進行存取。 AWS CLI當您使用 Windows PowerShell 的工具或刪除 AWS API使用者時 AWS 帳戶,必須先使用此作業刪除密碼。 AWS CLI如需詳細資訊,請參閱刪除IAM使用者 (AWS CLI)

在指定時間之前撤銷使用者的作用中主控台工作階段 (AWS CLI)

  1. 若要嵌入在指定時間之前撤銷使用IAM者作用中主控台工作階段的內嵌政策,請使用下列內嵌政策並執行此命令:aws iam put-user-policy

    此內嵌政策會拒絕所有權限,並包含aws:TokenIssueTime條件索引鍵。它會在內嵌政策Condition元素中的指定時間之前撤銷使用者的作用中主控台工作階段。將aws:TokenIssueTime條件索引鍵值取代為您自己的值。

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (可選)要列出內嵌在IAM使用者中的內嵌政策的名稱,請執行以下命令:aws iam list-user-policies

  3. (可選)要查看內嵌在IAM用戶中的命名內嵌政策,請執行以下命令:aws iam get-user-policy

建立、變更或刪除IAM使用者密碼 (AWS API)

您可以使用 AWS API來管理使用IAM者的密碼。

建立密碼 (AWS API)

  1. (選擇性) 若要判斷使用者是否有密碼,請呼叫此作業:GetLoginProfile

  2. 要創建密碼,請調用以下操作:CreateLoginProfile

若要變更使用者的密碼 (AWS API)

  1. (選擇性) 若要判斷使用者是否有密碼,請呼叫此作業:GetLoginProfile

  2. 要更改密碼,請調用以下操作:UpdateLoginProfile

若要刪除 (停用) 使用者的密碼 (AWS API)

  1. (選擇性) 若要判斷使用者是否有密碼,請執行下列命令:GetLoginProfile

  2. (選擇性) 若要判斷上次使用密碼的時間,請執行下列命令:GetUser

  3. 要刪除密碼,請運行以下命令:DeleteLoginProfile

重要

當您刪除使用者密碼時,使用者將無法繼續登入 AWS Management Console。如果使用者具有使用中的存取金鑰,他們會繼續運作並允許透過 Windows PowerShell 工具或 AWS API函數呼叫進行存取。 AWS CLI當您使用 Windows PowerShell 的工具或刪除 AWS API使用者時 AWS 帳戶,必須先使用此作業刪除密碼。 AWS CLI如需詳細資訊,請參閱刪除IAM使用者 (AWS CLI)

在指定時間之前撤銷使用者的作用中主控台工作階段 (AWS API)

  1. 若要內嵌在指定時間之前撤銷使用IAM者作用中主控台工作階段的內嵌原則,請使用下列內嵌原則並執行此命令:PutUserPolicy

    此內嵌政策會拒絕所有權限,並包含aws:TokenIssueTime條件索引鍵。它會在內嵌政策Condition元素中的指定時間之前撤銷使用者的作用中主控台工作階段。將aws:TokenIssueTime條件索引鍵值取代為您自己的值。

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (選擇性) 若要列出內嵌於IAM使用者的內嵌原則名稱,請執行下列命令:ListUserPolicies

  3. (選擇性) 若要檢視IAM使用者中內嵌的具名內嵌原則,請執行下列命令:GetUserPolicy