變更 IAM 使用者的許可 - AWS Identity and Access Management
檢視使用者存取根據使用者的存取活動產生政策新增許可到使用者 (主控台)變更使用者的許可 (主控台)若要從使用者中移除許可政策 (主控台)若要從使用者中移除許可界限 (主控台)新增和移除使用者的許可 (AWS CLI 或 AWS API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

變更 IAM 使用者的許可

您可以使用 AWS 帳戶 變更 IAM 使用者的許可,方法是變更其群組成員資格、複製現有使用者的許可、將政策直接連接到使用者,或是設定許可界限。許可界限控制使用者可以擁有的許可上限。許可界限是進階 AWS 功能。

如需有關修改使用者許可所需的許可資訊,請參閱 存取 IAM 資源所需的許可

檢視使用者存取

變更使用者的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 使用上次存取的資訊精簡 AWS 中的許可

根據使用者的存取活動產生政策

您有時可能會對 IAM 實體 (使用者或角色) 授予超出其要求的許可。為了協助您精簡所授予的許可,您可以根據實體的存取活動產生 IAM 政策。IAM Access Analyzer 會審查您的 AWS CloudTrail 日誌並產生政策範本,它包含實體在指定日期範圍內所使用的許可。您可以使用範本建立具有精細許可的受管政策,然後將其連接至 IAM 實體。如此一來,您只會授予使用者或角色與特定使用案例的 AWS 資源互動所需的許可。若要進一步了解,請參閱 IAM Access Analyzer 政策產生

新增許可到使用者 (主控台)

IAM 提供三種方法將許可政策新增到使用者:

  • 新增 IAM 使用者至 IAM 群組:讓使用者成為群組的成員。群組的政策連接到使用者。

  • 從現有的 IAM 使用者複製許可:複製所有群組成員資格、連接的受管政策、內嵌政策,以及來源使用者的任何現有許可界限。

  • 直接連接政策到 IAM 使用者:將受管政策直接連接到使用者。為方便管理許可,請將您的政策連接到群組,然後讓 IAM 使用者成為相應群組的成員。

重要

如果使用者具有許可界限,則您無法新增比許可界限允許的還要多的許可至使用者。

若要透過將 IAM 使用者新增到群組來新增許可

將 IAM 使用者新增至 IAM 群組,會立即使用為群組定義的許可來更新使用者的許可。

IAM console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬ 如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇使用者

  4. 使用者清單中選擇 IAM 使用者名稱。

  5. 選取群組索引標籤,以顯示包含目前使用者的群組清單。

  6. 選擇將使用者新增至群組

  7. 選取您要使用者加入的各個群組的核取方塊。如果成為群組的成員,清單會顯示每個群組的名稱和使用者所接收的政策。

  8. (選用) 可以選擇建立群組來定義新群組。如果想要將使用者新增至連接政策與現有群組不同的群組,這很有用:

    1. 在新標籤中的 使用者群組名稱 中輸入新群組的名稱。

      注意

      AWS 帳戶中的 IAM 資源數量和大小均有所限制。如需詳細資訊,請參閱 IAM AWS STS 和配額。群組名稱可以是長達 128 個字母、數字以及這些字元的組合:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、@ 符號以及連字號 (-)。名稱在帳戶中必須是唯一的。它們無法透過大小寫進行區分。例如,您無法建立兩個名為 TESTGROUPtestgroup 的群組。

    2. 選擇一個或多個您要連接到群組的受管政策的核取方塊。您也可以選擇 建立政策 來建立新的受管政策。如果您這麼做時,在新政策完成時會返回此瀏覽器標籤或視窗;選擇 重新整理,然後選擇新的政策,以將它連接至您的群組。如需詳細資訊,請參閱使用客戶管理政策定義自訂 IAM 許可

    3. 選擇 建立使用者群組

    4. 返回原始標籤,重新整理您的群組清單。然後,選取新群組的核取方塊。

  9. 選擇將使用者新增至群組

主控台會顯示狀態訊息,通知您使用者已新增至指定的群組。

若要透過從其他 IAM 使用者中複製來新增許可

如果選擇透過複製許可來為 IAM 使用者新增許可,IAM 會從指定的使用者中複製所有群組成員資格、連接的受管政策、內嵌政策以及任何現有的許可界限,並立即將它們套用到目前選取的使用者。

IAM console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬ 如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇使用者

  4. 使用者清單中選擇 IAM 使用者名稱。

  5. 許可索引標籤中,選取新增許可

  6. 新增許可頁面中,選擇複製許可。清單會顯示可用的 IAM 使用者及其群組成員資格和連接的政策。

  7. 選擇您要複製許可的使用者旁的選項按鈕。

  8. 選擇 下一步,以查看要對使用者進行的變更清單。然後選擇 新增許可

主控台會顯示狀態訊息,通知您已從指定的 IAM 使用者中複製許可。

若要透過直接連接政策到 IAM 使用者來新增許可

可以將受管政策直接連接至 IAM 使用者。會立即套用更新的許可。

IAM console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬ 如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇使用者

  4. 使用者清單中選擇 IAM 使用者名稱。

  5. 許可索引標籤中,選取新增許可

  6. 新增許可頁面中,選擇直接連接政策許可政策清單會顯示可用政策及其政策類型和連接的實體。

  7. 選取要連接的政策名稱旁的選項按鈕。

  8. 選擇 下一步,以查看要對使用者進行的變更清單。然後選擇 新增許可

主控台會顯示狀態訊息,通知您政策已新增至指定的 IAM 使用者。

若要設定 IAM 使用者的許可界限

許可界限是用於管理 AWS 中許可的進階功能,用於設定 IAM 使用者擁有的最大許可。設定許可界限會立即將 IAM 使用者許可限制在界限內,無論授予的其他許可為何。

IAM console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬ 如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇使用者

  4. 使用者清單中,選擇您要變更其許可界限的 IAM 使用者名稱。

  5. 選擇 許可 標籤。如有必要,請開啟 許可界限 區段,然後選擇 設定許可界限

  6. 設定許可界限頁面的許可政策下,選取要用於許可界限的政策。

  7. 選擇 設定界限

主控台會顯示狀態訊息,通知您已新增許可界限。

變更使用者的許可 (主控台)

IAM 可讓您以下列方式變更與使用者建立關聯的許可:

  • 編輯許可政策 – 編輯使用者的內嵌政策、使用者群組的內嵌政策,或編輯直接連接到使用者或從群組連接的受管政策。如果使用者具有許可界限,則您無法提供比當成使用者的許可界限來人用的政策所允許的還要更多的許可。

  • 變更許可界限 – 變更用作使用者的許可界限的政策。這會擴展或限制使用者可以擁有的許可上限。

編輯連接到使用者的許可政策

變更許可會立即更新使用者的存取權。

IAM console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬ 如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇使用者

  4. 使用者清單中,選擇您要變更其許可界限的 IAM 使用者名稱。

  5. 選擇許可索引標籤標籤。如有必要,請開啟許可界限區段。

  6. 選擇您要編輯以檢視詳細資訊的政策名稱。選擇連接的實體索引標籤,檢視編輯政策時可能受影響的其他實體 (IAM 使用者、群組和角色)。

  7. 選擇 許可 標籤,然後檢閱政策授予的許可。若要對許可進行變更,請選擇編輯

  8. 編輯該政策並解決任何政策驗證建議。如需詳細資訊,請參閱編輯 IAM 政策

  9. 選擇下一步,檢閱政策摘要,然後選擇儲存變更

主控台會顯示狀態訊息,通知您已更新政策。

若要變更使用者的許可界限

變更許可界限會立即更新使用者的存取權。

IAM console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬ 如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇使用者

  4. 使用者清單中,選擇您要變更其許可界限的 IAM 使用者名稱。

  5. 選擇 Permissions (許可) 標籤。如有必要,開啟 許可界限 區段,然後選擇 變更界限

  6. 選擇要用於許可界限的政策。

  7. 選擇 設定界限

主控台會顯示狀態訊息,通知您已變更許可界限。

若要從使用者中移除許可政策 (主控台)

移除許可政策會立即更新使用者的存取權。

IAM console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬ 如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇使用者

  4. 選擇您想要移除其許可政策的使用者名稱。

  5. 選擇許可索引標籤標籤。

  6. 如果想要透過移除現有政策來移除許可,在選擇移除來移除該政策之前,請檢視連接方式資料欄來了解使用者如何取得該政策:

    • 如果因群組成員資格而套用政策,則選擇 移除 會從群組移除使用者。請記住,您可能會有多個政策連接到單一群組。如果您移除群組中的使用者,使用者會失去透過群組成員資格收到的「所有」政策的存取權。

    • 如果政策是直接連接到使用者的受管政策,則選擇 移除 會將政策與使用者分開。這不會影響政策本身或政策可能連接的任何其他目標實體。

    • 如果政策是內嵌政策,則選擇移除會從 IAM 移除政策。直接連接到使用者的內嵌政策只存在於該使用者。

如果政策是透過群組成員資格授予給使用者,主控台會顯示狀態訊息,通知您已從 IAM 群組中移除 IAM 使用者。如果政策為直接連接或內嵌,則狀態訊息會通知您已移除政策。

若要從使用者中移除許可界限 (主控台)

移除許可界限會立即更新使用者的存取權。

IAM console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬ 如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇使用者

  4. 使用者清單中,選擇您要移除其許可界限的 IAM 使用者名稱。

  5. 選擇許可索引標籤標籤。如有必要,請開啟許可界限區段。

  6. 選擇 Change boundary (變更界限)。若要確認您要移除許可界限,在確認對話方塊中,選擇移除界限

主控台會顯示狀態訊息,通知您已移除許可界限。

新增和移除使用者的許可 (AWS CLI 或 AWS API)

若要以程式設計方式新增或移除許可,您必須新增或移除群組成員資格、連接或分開受管政策,或者新增或刪除內嵌政策。如需詳細資訊,請參閱下列主題: