IAM 使用者 - AWS Identity and Access Management
如何 AWS 識別 IAM 使用者IAM 使用者和憑證IAM 使用者和許可IAM 使用者和帳戶IAM 使用者做為服務帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM 使用者

重要

IAM 最佳實務建議您要求人類使用者與身分識別提供者的聯合使用,以 AWS 使用臨時登入資料存取,而不是使用具有長期登入資料的 IAM 使用者。

AWS Identity and Access Management (IAM) 使用者是您在中建立的實體 AWS。IAM 使用者代表使用 IAM 使用者與之互動的人類使用者或工作負載 AWS。中的使用者 AWS 包含名稱和認證。

具有管理員許可的 IAM 使用者與 AWS 帳戶根使用者並不相同。如需有關根使用者的詳細資訊,請參閱 AWS 帳戶根使用者

如何 AWS 識別 IAM 使用者

當建立 IAM 使用者時,IAM 建立這些方法來識別該使用者:

  • IAM 使用者的「易用名稱」,即您在建立 IAM 使用者時指定的名稱,例如 RichardAnaya。這些是您在 AWS Management Console中看到的名稱。

  • IAM 使用者的 Amazon Resource Name (ARN)。當您需要唯一識別所有 IAM 使用者時,請使用 ARN。 AWS例如,在 Amazon S3 儲存貯體的 IAM 政策中,您可以使用 ARN 將 IAM 使用者指定為 Principal。IAM 使用者的 ARN 可能如下所示:

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • IAM 使用者的唯一識別碼。只有當您使用 API、Windows 專用工具或建立 IAM 使用者時 PowerShell,才會傳回此 ID;您在主控台中看不 AWS CLI 到此識別碼。

如需有關這些識別碼的詳細資訊,請參閱 IAM 識別碼

IAM 使用者和憑證

您可以根據 IAM 使用者登入資料,以不同的方式存 AWS 取:

  • 主控台密碼:IAM 使用者可以輸入的密碼,以登入互動式工作階段 (如 AWS Management Console)。停用 IAM 使用者的密碼 (主控台存取權) 可防止他們 AWS Management Console 使用其登入認證登入。它不會變更其許可,也不會阻止他們使用擔任的角色來存取主控台。

  • 存取金鑰:用來向 AWS發出程式化呼叫。但在為 IAM 使用者建立存取金鑰之前,您可以考慮其他更安全的替代方案。如需詳細資訊,請參閱 AWS 一般參考 中的長期存取金鑰的考量事項和替代方案。如果 IAM 使用者具有作用中的存取金鑰,他們會繼續運作並允許透過 Windows 工具 AWS CLI PowerShell、 AWS API 或 AWS Console Mobile Application 用程式進行存取。

  • 搭配使用的安全殼層金鑰 CodeCommit:OpenSSH 格式的安全殼層公開金鑰,可用來進行驗證。 CodeCommit

  • 伺服器憑證:可用來驗證某些 AWS 服務的 SSL/TLS 憑證。建議您使用 AWS Certificate Manager (ACM) 來佈建、管理和部署伺服器憑證。只有當您必須在 ACM 不支援的區域中支援 HTTPS 連接時,才應使用 IAM。如需了解哪些區域支援 ACM,請參閱 AWS 一般參考 中的 AWS Certificate Manager 端點和配額

您可以選擇最適合您 IAM 使用者的憑證。當您使用 AWS Management Console 來建立 IAM 使用者,您必須選擇至少包含一個主控台密碼或存取金鑰。根據預設,使用 AWS CLI 或 AWS API 建立的全新 IAM 使用者沒有任何類型的登入資料。您必須根據使用案例,建立 IAM 使用者的憑證類型。

您可以使用以下選項來管理密碼、存取金鑰和多重要素驗證 (MFA) 裝置:

  • 管理 IAM 使用者的密碼建立和變更允許存取 AWS Management Console的密碼。設定密碼政策,以強制執行最低密碼複雜性。允許使用者變更自己的密碼。

  • 管理 IAM 使用者的存取金鑰建立和更新存取金鑰,以便以程式設計方式存取您帳戶中的資源。

  • 為 IAM 使用者啟用多重要素驗證 (MFA)根據最佳實務,我們建議您要求帳戶中的所有 IAM 使用者進行多重要素驗證。使用 MFA 時,使用者需要提供兩種身分驗證形式:首先,提供憑證,那是屬於他們的使用者身分 (密碼或存取金鑰) 的一部分。此外,他們提供硬體裝置或智慧型手機或平板電腦上的應用程式所產生的臨時數字代碼。

  • 尋找未使用的密碼和存取金鑰任何擁有您帳戶或帳戶中 IAM 使用者的密碼或存取金鑰的人都可以存取您的 AWS 資源。安全最佳實務是在使用者不再需要密碼和存取金鑰時將其移除。

  • 下載您帳戶的憑證報告您可以產生並下載「憑證報告」,其中會列出帳戶中的所有 IAM 使用者,及其各種憑證的狀態,包括密碼、存取金鑰和 MFA 裝置。對於密碼和存取金鑰、憑證報告會顯示密碼或存取金鑰最近使用的狀況。

IAM 使用者和許可

在預設情況下,新的 IAM 使用者沒有許可採取任何行動。他們沒有執行任何 AWS 操作或訪問任何 AWS 資源的授權。擁有個別 IAM 使用者的好處是您可以為每個使用者個別指派許可。您可以將管理許可指派給幾個使用者,這些使用者可以管理您的 AWS 資源,甚至可以建立和管理其他 IAM 使用者。但是,在大多數情況下,您只想將使用者的權限限制為工作所需的任務 (AWS 動作或作業) 和資源。

試想一名叫做 Diego 的使用者。當您建立 IAM 使用者 Diego 時,您為該使用者建立一個密碼並連接許可,讓該使用者可以啟動特定 Amazon EC2 執行個體並從 Amazon RDS 資料庫的表格中讀取 (GET) 資訊。有關如何建立使用者並授予其初始憑證和許可的程序的更多資訊,請參閱 在您的中建立 IAM 使用者 AWS 帳戶。有關如何變更現有使用者的程序的詳細資訊,請參閱 變更 IAM 使用者的許可。有關如何變更使用者的密碼或存取金鑰的程序的詳細資訊,請參閱 管理使用者密碼 AWS管理 IAM 使用者的存取金鑰

您也可以新增許可界限到您的 IAM 使用者。許可界限是一項進階功能,可讓您使用 AWS 受管政策來限制以身分為基礎的政策可授予 IAM 使用者或角色的最大許可。如需有關政策類型及其使用的詳細資訊,請參閱 IAM 中的政策和許可

IAM 使用者和帳戶

每位 IAM 使用者只能與一個 AWS 帳戶建立關聯。由於 IAM 使用者是在您的內部定義的 AWS 帳戶,因此他們不需要登記付款方式 AWS。IAM 使用者在您帳戶中執行的任何 AWS 活動都會從您的帳戶中收取費用。

AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱 IAM 和 AWS STS 配額

IAM 使用者做為服務帳戶

IAM 使用者是擁有關聯憑證和許可之 IAM 中的資源。IAM 使用者可以代表人員或應用程式,其會使用它的憑證來做出 AWS 請求。這通常稱為「服務帳戶」。如果您選擇在您的應用程式使用 IAM 使用者的長期憑證,請勿在應用程式程式碼中直接內嵌存取金鑰。 AWS SDK 和 AWS Command Line Interface 允許您將訪問密鑰放在已知位置,以便您不必將它們保留在代碼中。如需詳細資訊,請參閱 AWS 一般參考 中的適當管理 IAM 使用者存取金鑰。或者,最佳實務的作法是可以使用臨時安全憑證 (IAM 角色),而不是長期存取金鑰