移除或停用 IAM 使用者 - AWS Identity and Access Management
先決條件 – 檢視 IAM 使用者存取權移除 IAM 使用者 (主控台)刪除 IAM 使用者 (AWS CLI)停用 IAM 使用者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

移除或停用 IAM 使用者

最佳實務建議您從 AWS 帳戶中移除未使用的 IAM 使用者。如果想要保留 IAM 使用者憑證以供日後使用,而不是從帳戶中刪除它們,可以停用使用者的存取權。如需詳細資訊,請參閱停用 IAM 使用者

先決條件 – 檢視 IAM 使用者存取權

在移除使用者之前,請檢閱其最近的服務層級活動。這有助於防止從正在使用它的主體 (人員或應用程式) 中移除存取權。如需有關檢視上次存取的資訊的詳細資訊,請參閱 使用上次存取的資訊精簡 AWS 中的許可

移除 IAM 使用者 (主控台)

使用 AWS Management Console刪除 IAM 使用者時,IAM 會自動刪除下列相關資訊:

  • IAM 使用者識別符

  • 任何群組成員關係,即從該 IAM 使用者所屬的任何群組中移除該 IAM 使用者

  • 與 IAM 使用者有關的任何密碼

  • 屬於 IAM 使用者的任何存取金鑰

  • 嵌入於 IAM 使用者的所有內嵌政策 (透過使用者群組許可套用至 IAM 使用者的政策不受影響)

    注意

    當您刪除使用者時,IAM 會移除任何連接至 IAM 使用者的受管政策,但不會刪除受管政策。

  • 任何相關的 MFA 裝置

若要移除 IAM 使用者 (主控台)

IAM console

  1. 按照《AWS‭‬ 登入使用者指南》‭‬ 如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁上選取 IAM 服務。

  3. 在導覽窗格中,選擇使用者,然後選取您要刪除之 IAM 使用者名稱旁的核取方塊。

  4. 在頁面頂端,選擇 Delete (刪除)

  5. 確認對話方塊中,在文字輸入欄位中輸入使用者名稱以確認刪除使用者。選擇 刪除

主控台會顯示已刪除 IAM 使用者的狀態通知。

刪除 IAM 使用者 (AWS CLI)

與 AWS Management Console不同,當您使用 AWS CLI 刪除 IAM 使用者時,必須手動刪除連接至該 IAM 使用者的項目。此程序說明步驟。

若要從 AWS 帳戶 (AWS CLI) 刪除 IAM 使用者

  1. 如果使用者有密碼,刪除該使用者的密碼。

    aws iam delete-login-profile

  2. 如果使用者有存取金鑰,則將其刪除。

    aws iam list-access-keys (列出使用者的存取金鑰) 和 aws iam delete-access-key

  3. 刪除使用者的簽署憑證。注意,當您刪除安全憑證時,將會永遠消失、無法還原。

    aws iam list-signing-certificates (列出使用者的簽署的憑證) 和 aws iam delete-signing-certificate

  4. 如果使用者有 SSH 公有金鑰,則將其刪除。

    aws iam list-ssh-public-keys (列出使用者的 SSH 公有金鑰) 和 aws iam delete-ssh-public-key

  5. 刪除使用者的 Git 憑證。

    aws iam list-service-specific-credentials (列出使用者的 Git 憑證) 和 aws iam delete-service-specific-credential

  6. 如果使用者有多重要素驗證 (MFA) 裝置,請將其停用。

    aws iam list-mfa-devices (列出使用者的 MFA 裝置)、aws iam deactivate-mfa-device (停用裝置) 和 aws iam delete-virtual-mfa-device (永久刪除虛擬 MFA 裝置)

  7. 刪除使用者的內嵌政策。

    aws iam list-user-policies (列出使用者的內嵌政策) 和 aws iam delete-user-policy (刪除政策)

  8. 分開連接到該使用者的任何受管政策。

    aws iam list-attached-user-policies (列出連接到使用者的受管政策) 和 aws iam detach-user-policy (分開政策)

  9. 將該使用者從任何 IAM 群組中移除。

    aws iam list-groups-for-user (列出使用者所屬的 IAM 群組) 和 aws iam remove-user-from-group

  10. 刪除使用者。

    aws iam delete-user

停用 IAM 使用者

當 IAM 使用者暫時離開公司時,您可能需要停用他們。您可以將他們的 IAM 使用者憑證保留在適當位置,但仍然封鎖他們的 AWS 存取權。

若要停用使用者,請建立並連接政策以拒絕使用者存取 AWS。您可以稍後恢復使用者的存取權限。

以下是您可以連接到使用者以拒絕其存取的兩個拒絕政策範例。

下列政策不包含時間限制。您必須移除政策才能恢復使用者的存取權。

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

下列政策包括在 2024 年 12 月 24 日晚上 11:59 (UTC) 啟動政策的條件,並於 2025 年 2 月 28 日晚上 11:59 (UTC) 結束該政策。

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}