本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定 AWS 登入資料 工作者生命週期的初始階段是引導。在此階段,工作者代理程式軟體會在您的機群中建立工作者,並從機群的角色取得 AWS 登入資料以供進一步操作。 ------ #### [ AWS credentials for Amazon EC2 ] **為具有截止日期雲端工作者主機許可的 Amazon EC2 建立 IAM 角色** 1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。 1. 在導覽窗格中,選擇導覽窗格中**的角色**,然後選擇**建立**角色。 1. 選取 **AWS 服務**。 1. 選取 **EC2** 做為**服務或使用案例**,然後選取**下一步**。 1. 若要授予必要的許可,請連接 `AWSDeadlineCloud-WorkerHost` AWS 受管政策。 ------ #### [ On-premises AWS credentials ] 您的現場部署工作者會使用登入資料來存取截止日期雲端。為了獲得最安全的存取,我們建議您使用 IAM Roles Anywhere 來驗證您的工作者。如需詳細資訊,請參閱 [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)。 針對測試,您可以使用 IAM 使用者存取金鑰做為 AWS 登入資料。我們建議您透過包含限制性內嵌政策來設定 IAM 使用者的過期。 **重要** 請注意下列警告: **請勿使用**您帳戶的根登入資料來存取 AWS 資源。這些登入資料可讓未管制的帳戶存取和很難撤銷這些帳戶。 **請勿**在應用程式檔案中放置常值存取金鑰或憑證資訊。如果您不小心這麼做了,則會有暴露您登入資料的風險,例如,當您上傳專案到公有儲存庫時。 **請勿在**您的專案區域中放入包含憑證的檔案。 保護您的存取金鑰。請勿將您的存取金鑰提供給未經授權的當事方,即便是協助[尋找您的帳戶識別符](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html)也不妥。如果這麼做,就可能會讓他人能夠永久存取您的帳戶。 請注意,存放在共用 AWS 登入資料檔案中的任何登入資料都會以純文字儲存。 如需詳細資訊,請參閱《 [*AWS 一般參考*》中的管理 AWS 存取金鑰的最佳實務。](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#securing_access-keys) **建立 IAM 使用者** 1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。 1. 在導覽窗格中,選取**使用者**,然後選取**建立使用者**。 1. 為使用者命名。清除**提供使用者存取權 AWS 管理主控台**的核取方塊,然後選擇**下一步**。 1. 選擇**直接連接政策**。 1. 從許可政策清單中,選擇 **AWSDeadlineCloud-WorkerHost** 政策,然後選擇**下一步**。 1. 檢閱使用者詳細資訊,然後選擇**建立使用者**。 **限制使用者對有限時段的存取** 您建立的任何 IAM 使用者存取金鑰都是長期憑證。為了確保這些憑證在處理不當時過期,您可以建立內嵌政策,指定金鑰不再有效的日期,讓這些憑證有時間限制。 1. 開啟您剛才建立的 IAM 使用者。在****許可索引標籤中,選擇**新增許可**,然後選擇**建立內嵌政策**。 1. 在 JSON 編輯器中,指定下列許可。若要使用此政策,請以您自己的`aws:CurrentTime`時間和日期取代範例政策中的時間戳記值。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2024-01-01T00:00:00Z" } } } ] } ``` ------ **建立存取金鑰** 1. 在使用者詳細資訊頁面上,選取**安全登入**資料索引標籤。在**存取金鑰**區段中,選擇**建立存取金鑰**。 1. 表示您想要使用其他金鑰,然後選擇**下一步**,然後選擇**建立存取金鑰**。 1. 在**擷取存取金鑰**頁面上,選擇**顯示**以顯示使用者私密存取金鑰的值。您可以複製憑證或下載 .csv 檔案。 **存放使用者存取金鑰** + 將使用者存取金鑰存放在工作者主機系統的代理程式使用者的 AWS 登入資料檔案中: + 在 上Linux,檔案位於 `~/.aws/credentials` + 在 上Windows,檔案位於 `%USERPROFILE\.aws\credentials` 取代下列金鑰: ``` [default] aws_access_key_id=ACCESS_KEY_ID aws_secret_access_key=SECRET_ACCESS_KEY ``` **重要** 當您不再需要此 IAM 使用者時,建議您將其移除,以符合[AWS 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)。我們建議您要求人類使用者在存取[AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)時透過 使用臨時登入資料 AWS。 ------