變更IAM使用者的權限 - AWS 身分和存取權管理
檢視使用者存取根據使用者的存取活動產生政策新增許可到使用者 (主控台)變更使用者的許可 (主控台)從使用者移除許可政策 (主控台)從使用者移除許可界限 (主控台)新增和移除使用者的權限 (AWS CLI 或 AWS API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

變更IAM使用者的權限

您可以變更中IAM使用者的使用權限,方法是變更其群組成員資格、複製現有使用者的權限、直接將原則附加至使用者,或設定權限界限。 AWS 帳戶 許可界限控制使用者可以擁有的許可上限。權限界限是一 AWS 項進階功能。

如需有關修改使用者許可所需的許可資訊,請參閱 存取 IAM 資源所需的許可

檢視使用者存取

變更使用者的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 精簡權限於 AWS 使用上次存取的資訊

根據使用者的存取活動產生政策

您有時可能會將權限授予實IAM體 (使用者或角色) 超出其所需的權限。為了協助您調整授與的權限,您可以根據實體的存取活動產生IAM原則。IAMAccess Analyzer 會檢閱您的 AWS CloudTrail 記錄檔,並產生原則範本,其中包含實體在指定日期範圍內使用的權限。您可以使用範本建立具有精細權限的受管理原則,然後將其附加至IAM實體。如此一來,您只會針對特定使用案例授與使用者或角色與 AWS 資源互動所需的權限。若要深入了解,請參閱IAM存取分析器原則產生

新增許可到使用者 (主控台)

IAM提供三種將權限原則新增至使用者的方法:

  • 新增使用者至群組 – 讓使用者成為群組的成員。群組的政策連接到使用者。

  • 從現有的使用者複製許可 – 複製所有群組成員資格、連接的受管政策、內嵌政策,以及來源使用者的任何現有許可界限。

  • 直接連接政策到使用者 – 將受管政策直接連接到使用者。為方便管理許可,請將您的政策連接到群組,然後讓使用者成為相應群組的成員。

重要

如果使用者具有許可界限,則您無法新增比許可界限允許的還要多的許可至使用者。

透過將使用者新增到群組來新增許可

新增使用者至群組會立即影響使用者。

若要透過將使用者新增到群組來新增許可

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 使用者

  3. 在主控台的 群組 欄中,檢閱使用者的目前群組成員資格。如有必要,請透過完成以下步驟將欄位新增到使用者表格:

    1. 在最右側的表格上方,選擇設定符號 ( Settings icon )。

    2. 管理欄 對話方塊中,選取 群組 欄。或者,您也可以清除不想在使用者表格中顯示的任何欄標題的核取方塊。

    3. 選擇 關閉 返回使用者清單。

    群組 欄會告訴您使用者所屬的群組。此欄位包括多達兩個群組的群組名稱。如果使用者是三個或以上群組的成員,前兩個群組會顯示 (以字母順序排列),以及包含其他群組成員資格的數量。例如,如果使用者屬於群組 A、群組 B、群組 C 和群組 D,則欄位包含值 Group A, Group B + 2 more (群組 A、群組 B+2 更多)。若要查看使用者所屬的群組總數,您可以將 群組計數 欄新增至使用者資料表。

  4. 選擇您想要為其修改許可的使用者名稱。

  5. 選擇 許可 標籤,然後選擇 新增許可。選擇 將使用者新增至群組

  6. 勾選您要使用者加入的各個群組的核取方塊。如果成為群組的成員,清單會顯示每個群組的名稱和使用者所接收的政策。

  7. (選用) 除了從現有群組選取之外,您還可以選擇 建立群組 來定義一個新的群組:

    1. 在新標籤中的 使用者群組名稱 中輸入新群組的名稱。

      注意

      AWS 帳戶中IAM資源的數量和大小是有限的。如需詳細資訊,請參閱IAM和 AWS STS 配額。群組名稱可以是長達 128 個字母、數字以及這些字元的組合:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、@ 符號以及連字號 (-)。名稱在帳戶中必須是唯一的。它們無法透過大小寫進行區分。例如,您不能創建兩個名為TESTGROUPtestgroup 的組。

    2. 選擇一個或多個您要連接到群組的受管政策的核取方塊。您也可以選擇 建立政策 來建立新的受管政策。如果您這麼做時,在新政策完成時會返回此瀏覽器標籤或視窗;選擇 重新整理,然後選擇新的政策,以將它連接至您的群組。如需詳細資訊,請參閱使用客戶管理的政策定義自訂IAM權限

    3. 選擇 建立使用者群組

    4. 返回原始標籤,重新整理您的群組清單。然後,選取新群組的核取方塊。

  8. 選擇 下一步,以查看要新增至使用者的群組成員資格清單。然後選擇 新增許可

透過從其他使用者複製來新增許可

複製許可會立即影響使用者。

若要透過從其他使用者複製許可來新增許可至使用者

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 使用者,並選擇您要修改其許可的使用者名稱,然後選擇 許可 標籤。

  3. 選擇 新增許可,然後選擇 複製現有使用者的許可。清單會顯示可用的使用者及其群組成員資格和連接的政策。如果群組或策略的完整清單不符合一行,您可以選擇和的連結 n 更多。這麼做會開啟新的瀏覽器索引標籤,並看到完整的政策清單 (許可索引標籤) 和群組 (群組 索引標籤)。

  4. 選擇您要複製許可的使用者旁的選項按鈕。

  5. 選擇 下一步,以查看要對使用者進行的變更清單。然後選擇 新增許可

透過直接連接政策到使用者來新增許可

連接政策會立即影響使用者。

若要透過直接連接受管政策來新增許可到使用者

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 使用者,並選擇您要修改其許可的使用者名稱,然後選擇 許可 標籤。

  3. 選擇 新增許可,然後選擇 直接連接政策

  4. 選擇一個或多個您要連接到使用者的受管政策的核取方塊。您也可以選擇 建立政策 來建立新的受管政策。如此,您會在新政策建立完成時返回此瀏覽器標籤或視窗。選擇 重新整理,然後選取要連接至使用者之新政策的核取方塊。如需詳細資訊,請參閱使用客戶管理的政策定義自訂IAM權限

  5. 選擇 下一步,以查看要連接至使用者的政策清單。然後選擇 新增許可

設定使用者的許可界限

設定許可界限會立即影響使用者。

設定使用者的許可界限

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 使用者

  3. 選擇您想要為其變更許可界限的使用者名稱。

  4. 選擇 許可 標籤。如有必要,請開啟 許可界限 區段,然後選擇 設定許可界限

  5. 選擇要用於許可界限的政策。

  6. 選擇 設定界限

變更使用者的許可 (主控台)

IAM可讓您透過下列方式變更與使用者相關聯的權限:

  • 編輯許可政策 – 編輯使用者的內嵌政策、使用者群組的內嵌政策,或編輯直接連接到使用者或從群組連接的受管政策。如果使用者具有許可界限,則您無法提供比當成使用者的許可界限來人用的政策所允許的還要更多的許可。

  • 變更許可界限 – 變更用作使用者的許可界限的政策。這會擴展或限制使用者可以擁有的許可上限。

編輯連接到使用者的許可政策

變更許可會立即影響使用者。

編輯使用者連接的受管政策

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為其變更許可政策的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。如有必要,請開啟 許可政策 區段。

  5. 選擇您要編輯以檢視詳細資訊的政策名稱。選擇 政策使用 標籤,以檢視可能會受到政策編輯影響的其他實體。

  6. 選擇 許可 標籤,然後檢閱政策授予的許可。然後選擇 編輯政策

  7. 編輯該政策並解決任何政策驗證建議。如需詳細資訊,請參閱編輯IAM策略

  8. 選擇 檢閱政策 ,並檢閱政策摘要,然後選擇 儲存變更

變更使用者的許可界限

變更許可界限會立即影響使用者。

變更用於設定使用者許可界限的政策

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 使用者

  3. 選擇您想要為其變更許可界限的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。如有必要,開啟 許可界限 區段,然後選擇 變更界限

  5. 選擇要用於許可界限的政策。

  6. 選擇 設定界限

從使用者移除許可政策 (主控台)

移除政策會立即影響使用者。

若要移除IAM使用者的權限

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要移除其許可界限的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。

  5. 如果您想要透過移除現有政策來移除許可,請檢視 類型 了解使用者如何取得該政策,再選擇 移除 來移除該政策:

    • 如果因群組成員資格而套用政策,則選擇 移除 會從群組移除使用者。請記住,您可能會有多個政策連接到單一群組。如果您移除群組中的使用者,使用者會失去透過群組成員資格收到的「所有」政策的存取權。

    • 如果政策是直接連接到使用者的受管政策,則選擇 移除 會將政策與使用者分開。這不會影響政策本身或政策可能連接的任何其他目標實體。

    • 如果原則是內嵌內嵌政策,則選擇 X 會從中移除原則IAM。直接連接到使用者的內嵌政策只存在於該使用者。

從使用者移除許可界限 (主控台)

移除許可界限會立即影響使用者。

從使用者移除許可界限

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要移除其許可界限的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。如有必要,請開啟 許可界限 區段,然後選擇 移除界限

  5. 選擇 移除範圍 以確認您想要移除許可界限。

新增和移除使用者的權限 (AWS CLI 或 AWS API)

若要以程式設計方式新增或移除許可,您必須新增或移除群組成員資格、連接或分開受管政策,或者新增或刪除內嵌政策。如需詳細資訊,請參閱下列主題: