管理 IAM 使用者的密碼 - AWS Identity and Access Management
建立、變更或刪除 IAM 使用者密碼 (主控台)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 IAM 使用者的密碼

使用 處理 AWS 資源 AWS Management Console 的 IAM 使用者必須具有密碼才能登入。您可以建立、更改或刪除您的 AWS 帳戶中 IAM 使用者的密碼。

將密碼指派給使用者後,使用者可以 AWS Management Console 使用帳戶的登入 URL 登入 ,如下所示:

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

如需 IAM 使用者如何登入 的詳細資訊 AWS Management Console,請參閱AWS 登入 《 使用者指南》中的如何登入 AWS

即使使用者有自己的密碼,還是需要許可才能存取您的 AWS 資源。使用者預設沒有任何許可。為授予使用者所需的許可,您可向使用者或使用者所屬的群組分配政策。如需有關建立使用者與群組的詳細資訊,請參閱 IAM 身分 。如需使用政策來設定許可的詳細資訊,請參閱 變更 IAM 使用者的許可

您可以授予使用者變更自己密碼的許可。如需詳細資訊,請參閱允許 IAM 使用者變更自己的密碼。如需有關使用者如何存取您帳戶登入頁面的資訊,請參閱 《AWS 登入 使用者指南》 中的 如何登入 AWS

建立、變更或刪除 IAM 使用者密碼 (主控台)

您可以使用 AWS Management Console 來管理 IAM 使用者的密碼。

您的使用者存取需求可能會隨著時間而變更。您可能需要讓預期 CLI 存取的使用者擁有主控台存取權、變更使用者的密碼,因為他們會收到含有其登入資料的電子郵件,或在使用者離開組織或不再需要 AWS 存取權時刪除使用者。

若要建立 IAM 使用者密碼 (主控台)

使用此程序建立與使用者名稱關聯的密碼,以授予使用者主控台存取權。

IAM console

  1. 按照《AWS ‭‬ 登入使用者指南》‭‬如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇 Users (使用者)。

  4. 選擇您想要為之建立密碼的使用者名稱。

  5. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 啟用主控台存取

  6. 啟用主控台存取對話方塊中,選取重設密碼,然後選擇是否要讓 IAM 產生密碼或建立自訂密碼:

    • 若要讓 IAM 產生密碼,請選擇 Autogenerated password (自動產生的密碼)。

    • 若要建立自訂密碼,請選擇 Custom password (自訂密碼) 並輸入密碼。

      注意

      您建立的密碼必須符合帳戶的密碼政策

  7. 若要要求使用者登入時建立新的密碼,請選擇下次登入時需要變更密碼

  8. 若要要求使用者立即使用新密碼,請選取撤銷作用中主控台工作階段。這會將內嵌政策連接至 IAM 使用者,如果使用者的憑證比政策指定的時間更舊,則會拒絕該使用者存取資源。

  9. 選擇重設密碼

  10. 主控台密碼對話方塊會通知您已啟用使用者的新密碼。若要檢視密碼以便與使用者共用,請選擇主控台密碼對話方塊中的顯示。選取下載 .csv 檔案,以下載具有使用者憑證的檔案。

    重要

    基於安全原因,在完成此步驟後您無法存取該密碼,但您可以隨時建立新密碼。

主控台會顯示狀態訊息,通知您已啟用主控台存取。

為 IAM 使用者變更密碼 (主控台)

使用此程序來更新與使用者名稱關聯的密碼。

IAM console

  1. 按照《AWS ‭‬ 登入使用者指南》‭‬如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇 Users (使用者)。

  4. 選擇您想要為之變更密碼的使用者名稱。

  5. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 管理主控台存取

  6. 管理主控台存取對話方塊中,選取重設密碼,然後選擇是否要讓 IAM 產生密碼或建立自訂密碼:

    • 若要讓 IAM 產生密碼,請選擇 Autogenerated password (自動產生的密碼)。

    • 若要建立自訂密碼,請選擇 Custom password (自訂密碼) 並輸入密碼。

      注意

      您建立的密碼必須符合帳戶的密碼政策

  7. 若要要求使用者登入時建立新的密碼,請選擇下次登入時需要變更密碼

  8. 若要要求使用者立即使用新密碼,請選取撤銷作用中主控台工作階段。這會將內嵌政策連接至 IAM 使用者,如果使用者的憑證比政策指定的時間更舊,則會拒絕該使用者存取資源。

  9. 選擇重設密碼

  10. 主控台密碼對話方塊會通知您已啟用使用者的新密碼。若要檢視密碼以便與使用者共用,請選擇主控台密碼對話方塊中的顯示。選取下載 .csv 檔案,以下載具有使用者憑證的檔案。

    重要

    基於安全原因,在完成此步驟後您無法存取該密碼,但您可以隨時建立新密碼。

主控台會顯示狀態訊息,通知您已更新主控台存取。

刪除 (停用) IAM 使用者密碼 (主控台)

使用此程序刪除與使用者名稱關聯的密碼,從而移除使用者的主控台存取權。

重要

您可以 AWS Management Console 移除 IAM 使用者的密碼,以防止其存取 。這可防止他們 AWS Management Console 使用其登入憑證登入 。它不會變更其許可,也不會阻止他們使用擔任的角色來存取主控台。如果使用者具有作用中的存取金鑰,則其會繼續運作並允許透過 AWS CLI、Tools for Windows PowerShell、 AWS API 或 AWS 主控台行動應用程式進行存取。

IAM console

  1. 按照《AWS ‭‬ 登入使用者指南》‭‬如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇 Users (使用者)。

  4. 選擇您想要為之刪除密碼的使用者名稱。

  5. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 管理主控台存取

  6. 若要要求使用者立即停止使用主控台,請選取撤銷作用中主控台工作階段。這會將內嵌政策連接至 IAM 使用者,如果使用者的憑證比政策指定的時間更舊,則會拒絕該使用者存取資源。

  7. 選擇停用存取

主控台會顯示狀態訊息,通知您已停用主控台存取。

建立、變更或刪除 IAM 使用者密碼 (AWS CLI)

您可以使用 AWS CLI API 來管理 IAM 使用者的密碼。

建立密碼 (AWS CLI)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:aws iam get-login-profile

  2. 若要建立密碼,請執行此命令:aws iam create-login-profile

若要變更使用者的密碼 (AWS CLI)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:aws iam get-login-profile

  2. 若要變更密碼,請執行此命令:aws iam update-login-profile

若要刪除 (停用) 使用者的密碼 (AWS CLI)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:aws iam get-login-profile

  2. (選用) 若要判斷密碼前次使用的時間,請執行此命令:aws iam get-user

  3. 若要刪除密碼,請執行此命令:aws iam delete-login-profile

重要

當您刪除使用者密碼時,使用者將無法繼續登入 AWS Management Console。如果使用者有作用中的存取金鑰,則其會繼續運作,並允許透過 AWS CLI、Tools for Windows PowerShell 或 AWS API 函數呼叫進行存取。當您使用 AWS CLI、Tools for Windows PowerShell 或 AWS API 從您的 刪除使用者時 AWS 帳戶,您必須先使用此操作刪除密碼。如需詳細資訊,請參閱刪除 IAM 使用者 (AWS CLI)

在指定時間之前撤銷使用者的作用中主控台工作階段 (AWS CLI)

  1. 若要嵌入內嵌政策,以在指定時間之前撤銷 IAM 使用者的作用中主控台工作階段,請使用下列內嵌政策並執行以下命令:aws iam put-user-policy

    此內嵌政策會拒絕所有許可,並包含 aws:TokenIssueTime 條件索引鍵。它會在內嵌政策的 Condition 元素中指定的時間之前,撤銷使用者的作用中主控台工作階段。將 aws:TokenIssueTime 條件索引鍵值取代為您自己的值。

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (選用) 若要列出嵌入在 IAM 使用者中的內嵌政策名稱,請執行以下命令:aws iam list-user-policies

  3. (選用) 若要檢視嵌入在 IAM 使用者中的具名內嵌政策,請執行以下命令:aws iam get-user-policy

建立、變更或刪除 IAM 使用者密碼 (AWS API)

您可以使用 AWS API 來管理 IAM 使用者的密碼。

建立密碼 (AWS API)

  1. (選用) 若要判斷使用者是否有密碼,請呼叫此操作:GetLoginProfile

  2. 若要建立密碼,請呼叫此操作:CreateLoginProfile

變更使用者的密碼 (AWS API)

  1. (選用) 若要判斷使用者是否有密碼,請呼叫此操作:GetLoginProfile

  2. 若要變更密碼,請呼叫此操作:UpdateLoginProfile

刪除 (停用) 使用者的密碼 (AWS API)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:GetLoginProfile

  2. (選用) 若要判斷密碼前次使用的時間,請執行此命令:GetUser

  3. 若要刪除密碼,請執行此命令:DeleteLoginProfile

重要

當您刪除使用者密碼時,使用者將無法繼續登入 AWS Management Console。如果使用者有作用中的存取金鑰,則其會繼續運作,並允許透過 AWS CLI、Tools for Windows PowerShell 或 AWS API 函數呼叫進行存取。當您使用 AWS CLI、Tools for Windows PowerShell 或 AWS API 從您的 刪除使用者時 AWS 帳戶,您必須先使用此操作刪除密碼。如需詳細資訊,請參閱刪除 IAM 使用者 (AWS CLI)

在指定時間 (AWS API) 之前撤銷使用者的作用中主控台工作階段

  1. 若要內嵌內嵌政策,以在指定時間之前撤銷 IAM 使用者的作用中主控台工作階段,請使用下列內嵌政策並執行以下命令:PutUserPolicy

    此內嵌政策會拒絕所有許可,並包含 aws:TokenIssueTime 條件索引鍵。它會在內嵌政策的 Condition 元素中指定的時間之前,撤銷使用者的作用中主控台工作階段。將 aws:TokenIssueTime 條件索引鍵值取代為您自己的值。

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (選用) 若要列出嵌入在 IAM 使用者中的內嵌政策名稱,請執行以下命令:ListUserPolicies

  3. (選用) 若要檢視嵌入在 IAM 使用者中的具名內嵌政策,請執行以下命令:GetUserPolicy