本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
我該如何管理IAM?
在 AWS 環境 AWS Identity and Access Management 中管理涉及利用各種工具和介面。最常用的方法是透過 Web 型介面 AWS Management Console,可讓您執行各種IAM管理工作,從建立使用者和角色到設定權限。
對於使用者更熟悉命令列介面, AWS 提供兩組命令列工具- AWS Command Line Interface 和 AWS Tools for Windows PowerShell. 這使您可以直接從終端發出IAM相關命令,通常比導航控制台更有效率。此外,您還 AWS CloudShell 可以使用與控制台登錄相關聯的權限直接從 Web 瀏覽器運行CLI或SDK命令。
除了主控台和命令列之外,還 AWS 提供適用於各種程式設計語言的軟體開發套件 (SDKs),可讓您將IAM管理功能直接整合到應用程式中。或者,您也可以使用 IAM Query 以IAM程式設計方式存取API,這可讓您直接向服務發出HTTPS要求。利用這些不同的管理方法,您可以靈活地融IAM入現有的工作流程和流程。
使用 AWS Management Console
控制台是用於管理IAM和 AWS 資源的基於瀏覽器的界面。如需有關IAM透過主控台存取的詳細資訊,請參閱AWS 登入 使用者指南 AWS中的如何登入。
AWS 控制台
AWS 管理主控台是一種 Web 應用程式,其中包含並參照用於管理 AWS 資源的廣泛服務主控台集合。若是首次登入,這時主控台頁面將會顯示。首頁可讓您存取每個服務主控台,並提供單一位置來存取執行 AWS 相關工作的資訊。登入主控台後,您可以使用哪些服務和應用程式,取決於您有權存取的 AWS 資源。您可以透過擔任某個角色、加入已取得許可的群組或明確取得相關許可,從而獲得對資源的許可。對於獨立 AWS 帳號,root 使用者或IAM管理員會設定資源的存取權。對於 AWS Organizations,管理帳戶或委派的系統管理員可設定資源的存取權。
如果您打算讓人員使用 AWS 管理主控台來管理 AWS 資源,建議您使用臨時登入資料來設定使用者,做為安全性最佳作法。IAM在 IAM Identity Center 中擔任角色的使用者、同盟使用者和使用者具有臨時認證,而使用IAM者和 root 使用者則擁有長期認證。根使用者認證可提供對的完整存取權 AWS 帳戶,而其他使用者則擁有可存取由IAM策略授與之資源的認證。
登入體驗會因不同類型的 AWS Management Console 使用者而有所不同。
-
IAM使用者和根使用者從主要 AWS 登入 URL (https://signin.aws.amazon.com) 登入。一旦登入,他們便可存取已取得許可的帳戶中的資源。
若要以根使用者身分登入,您必須有根使用者電子郵件地址和密碼。
若要以IAM使用者身分登入,您必須具有 AWS 帳戶 編號或別名、IAM使用者名稱和IAM使用者密碼。
我們建議您將帳IAM戶中的使用者限制在需要長期認證的特定情況下 (例如緊急存取),並且只將 root 使用者用於需要 root 使用者認證的工作。
為了方便起見, AWS 登錄頁面使用瀏覽器 cookie 來記住用IAM戶名和帳戶信息。下次使用者前往中的任何頁面時 AWS Management Console,主控台會使用 Cookie 將使用者重新導向至帳戶登入頁面。
完成您的工作階段後,請登出主控台以防止重複使用您先前的登入。
-
IAM身分識別中心使用者使用其組織專屬的特定 AWS 存取入口網站登入。登入後,他們可以選擇要存取的帳戶或應用程式。如果選擇存取某個帳戶,他們會選擇想要在管理工作階段中使用哪個許可集。
-
外部身分提供者管理的聯合身分使用者會連結至使用自訂企業存取入口網站的 AWS 帳戶 登入。同盟使用者可用的 AWS 資源取決於其組織選取的策略。
注意
為了提供額外的安全性層級,IAMIdentity Center 中的 root 使IAM用者、使用者和使用者在授予 AWS 資源存取權 AWS 之前,可以先通過驗證多重要素驗證 (MFA)。啟MFA用時,您也必須擁有MFA裝置的存取權才能登入。
若要深入瞭解不同使用者如何登入管理主控台,請參閱登入使用者指南中的AWS 登入 AWS 管理主控台。
AWS 命令行工具
您可以使用指 AWS 令行工具在系統的命令列中發出指令以執行IAM和工 AWS 作。使用命令列可以比主控台更快,也更便利。如果您想要建置執行工作的指令碼,指令行 AWS 工具也很有用。
AWS 提供兩組指令行工具:AWS Command Line Interface
登入主控台後,您可以使用 AWS CloudShell 瀏覽器執行CLI或SDK命令。存取資 AWS 源的權限取決於您用來登入主控台的認證。根據您的經驗,您可能會發現管理您的 AWS 帳戶. CLI 如需詳細資訊,請參閱 用 AWS CloudShell 於使用 AWS Identity and Access Management
AWS 命令列介面 (CLI) 和軟體開發套件 (SDKs)
IAMIdentity Center 和使用IAM者透過相關聯的CLI或應用程式介面 (APIs) 進行驗證時,會使用不同的方法來驗證其認證SDKs。
認證和組態設定位於多個位置,例如系統或使用者環境變數、本機 AWS 組態檔案,或在命令列上明確宣告為參數。某些位置的優先順序高於其他位置。
IAM身分識別中心和IAM提供可與CLI或搭配使用的存取金鑰SDK。IAMIdentity Center 存取金鑰是可自動重新整理的暫時登入資料,建議IAM使用與使用者相關聯的長期存取金鑰。
若要管理您的 AWS 帳戶 使用,CLI或者SDK您可以 AWS CloudShell 從瀏覽器中使用。如果您使 CloudShell 用執行CLI或SDK命令,則必須先登入主控台。存取資 AWS 源的權限取決於您用來登入主控台的認證。根據您的經驗,您可能會發現管理您的 AWS 帳戶. CLI
對於應用程式開發,您可以SDK將CLI或下載到您的電腦,然後從命令提示字元或 Docker 視窗登入。在這個案例中,您將驗證和存取認證設定為CLI指令碼或SDK應用程式的一部分。您可以採用不同的方式設定對資源的程式設計存取,具體取決於適用於您的環境和存取權。
-
使用 AWS 服務驗證本機程式碼的建議選項為IAM身分識別中心和IAM任何角色
-
驗證在 AWS 環境中執行的程式碼的建議選項是使用IAM角色或使用 IAM Identity Center 認證。
使用 AWS 存取入口網站登入時,您可以從您選擇權限集的開始頁面取得短期認證。這些憑證具有定義的持續時間,不會自動重新整理。如果您想要使用這些認證,請在登 AWS 入入口網站後選擇, AWS 帳戶 然後選擇權限集。選取命令列或程式設計存取,以檢視您可以用來以程式 AWS 設計方式或從. CLI 如需有關這些方法的詳細資訊,請參閱 IAMIdentity Center 使用者指南中的取得和重新整理暫時認證。這些憑證經常在應用程式開發期間使用,以便快速測試程式碼。
我們建議您使用 IAM Identity Center 認證,以便在自動存取 AWS 資源時自動重新整理。如果您已在 IAM Identity Center 中設定使用者和權限集,您可以使用aws configure sso命令來使用命令列精靈,協助您識別可用的認證,並將其儲存在設定檔中。如需有關設定您的設定檔的更多資訊,請參閱《AWS 命令列介面使用者指南 (適用於版本 2)》中的使用 aws configure sso 精靈設定您的設定檔。
注意
許多範例應用程式使用與IAM使用者或 root 使用者關聯的長期存取金鑰。您應該只在沙盒環境中使用長期憑證,這是您學習練習的一部分。檢閱長期存取金鑰的替代方案,並計劃盡快將程式碼轉換為使用替代認證,例如 IAM Identity Center 認證或IAM角色。在轉換程式碼後,請刪除存取金鑰。
若要瞭解有關規劃的更多資訊CLI,請參閱《指AWS 令行介面使用者指南》第 2 版的《安裝或更新最新版本》和《指令行介面使用者指南》中的AWS 驗證和存取身份證明。 AWS CLI
若要瞭解有關設定的更多資訊SDK,請參閱《工具參考指南》AWS SDKs和《工具參考指南》中的《IAM身分中心驗證》AWS SDKs和《工具參考指南》中的 IAM
使用 AWS SDKs
AWS 提供 SDKs (軟體開發套件),其中包含各種程式設計語言和平台 (Java、Python、Ruby、. NET, iOS 版, 安卓系統, 等等). SDKs提供了一種方便的方式來創建IAM和 AWS的程序化訪問。例如,負SDKs責密碼編譯簽署要求、管理錯誤,以及自動重試要求等工作。如需有關的資訊 AWS SDKs,包括如何下載和安裝這些資訊,請參閱 Amazon Web Services 的工具
使用查IAM詢 API
您可以使用 IAM Query 來存取IAM和以 AWS 程式設計方式API,這可讓您直接向服務發出HTTPS要求。使用查詢時API,您必須包含程式碼,才能使用您的認證進行數位簽署要求。如需詳細資訊,請參閱〈〉使用 HTTP 查詢請求呼叫 IAM API和〈IAMAPI參考〉。
