新增和移除 IAM 身分許可 - AWS Identity and Access Management

新增和移除 IAM 身分許可

您可以使用政策來定義身分 (使用者、使用者群組或角色) 的許可。您可以透過使用 AWS Management Console、AWS Command Line Interface (AWS CLI) 或是 AWS API,連接和分開身分的 IAM 政策來新增和移除許可。您也可以使用相同的方法,利用政策來設定僅適用於實體 (使用者或角色) 的許可界限。許可界限是進階 AWS 功能,其可控制一個實體可擁有的最大許可。

術語

當您將許可政策與身分 (使用者、使用者群組和角色) 相關聯時,術語和程序會有所不同,具體取決於您使用的是受管政策或內嵌政策:

  • 連接 – 與受管政策一起使用。您將受管政策連接到身分 (使用者、使用者群組或角色)。將在政策中套用許可的政策連接到身分。

  • Detach (分開) – 與受管政策一起使用。您從 IAM 身分 (使用者、使用者群組或角色) 分開受管政策。分開政策會從身分中移除其許可。

  • 嵌入 – 與內嵌政策一起使用。在身分中嵌入內嵌政策 (使用者、使用者群組或角色)。將在政策中套用許可的政策嵌入到身分。因為內嵌政策儲存在身分中,所以它是嵌入的而不是連接的,儘管結果是相似的。

    注意

    您只能將服務相關角色的內嵌政策嵌入依賴該角色的服務。請參閱服務的 AWS 文件,確認是否支援此功能。

  • 刪除 – 與內嵌政策一起使用。您從 IAM 身分 (使用者、使用者群組或角色) 刪除內嵌政策。刪除政策會從身分中移除其許可。

    注意

    您只能在依賴於角色的服務中刪除服務連結角色的內嵌政策。請參閱服務的 AWS 文件,確認是否支援此功能。

您可以使用主控台、AWS CLI 或 AWS API 來執行任何這些動作。

其他資訊

檢視身分活動

變更身分 (使用者、使用者群組或角色) 的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的委託人 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 使用上次存取的資訊精簡 AWS 的許可

新增 IAM 身分許可 (主控台)

您可以使用 AWS Management Console 來將許可新增至身分 (使用者、使用者群組或角色)。若要執行此操作,連接可控制許可的受管政策,或指定可做為許可界限的政策。您也可以嵌入內嵌政策。

將受管政策當做身分的許可政策來使用 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選取要連接的政策名稱旁的核取方塊。您可以使用搜尋方塊來篩選政策清單。

  4. 選擇 Actions (動作),然後選擇 Attach (連接)。

  5. 選取一或多個身分以將政策連接到。您可使用搜尋方塊來篩選委託人實體清單。在選取身分後,選擇 Attach policy (連接政策)

使用受管政策設定許可界限 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。

  4. 在政策摘要頁面上,選擇 Policy usage tab (政策使用標籤),然後在必要時,開啟 Permissions boundaries (許可界限) 區段,然後選擇 Set boundary (設定界限)

  5. 選擇一或多個要套用許可界限政策的使用者或角色。您可使用搜尋方塊來篩選委託人實體清單。選取委託人之後,選擇 Set boundaries (設定界限)

為使用者或角色嵌入內嵌政策 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在服務導覽窗格中,選擇 Users (使用者) 或者 Roles (角色)

  3. 在清單中,選擇要內嵌政策的使用者或角色的名稱。

  4. 選擇 Permissions (許可) 標籤。

  5. 選擇 Add Permissions (新增許可),然後選擇 Add inline policy (新增內嵌政策)。

    注意

    您不能在 IAM 中的服務連結的角色中嵌入內嵌政策。由於連結服務定義您是否可以修改角色的許可,因此您可以從服務主控台、API 或 AWS CLI 新增額外的政策。若要查看服務的服務連結角色文件,請參閱 可搭配 IAM 運作的 AWS 服務 並在服務的 服務連結角色欄位中選擇 Yes (是)

  6. 選擇下列其中一種方法來檢視建立政策所需的步驟:

    • 匯入現有的受管政策 – 您可以將受管政策匯入帳戶內,然後編輯該政策以依據您的特定要求自訂內容。受管政策可以是 AWS 受管政策或者您之前建立的客戶受管政策。

    • 使用視覺化編輯器來建立政策 – 您可以在視覺編輯工具中從零開始建構一個新的政策。若您使用視覺化編輯器,您便無需了解 JSON 語法。

    • 在 JSON 標籤上建立政策 – 在 JSON 索引標籤中,您可以使用 JSON 語法來建立政策。您可以輸入新的 JSON 政策文件或者貼上範例政策。。

  7. 在您建立內嵌政策後,它會自動嵌入您的使用者或角色中。

為使用者群組嵌入內嵌政策 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 User groups (使用者群組)。

  3. 在清單中,選擇要內嵌政策的使用者群組名稱。

  4. 選擇 Permissions (許可) 標籤,選擇 Add permissions (新增許可),然後選擇 Attach policy (連接政策)。

  5. 執行下列任意一項:

  6. 當您滿意時,選擇 建立政策

變更一或多個實體的許可界限 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。

  4. 在政策摘要頁面上,選擇 Policy usage tab (政策使用標籤),然後在必要時,開啟 Permissions boundaries (許可界限) 區段。選取您想要變更其界限的使用者或角色旁的核取方塊,然後選擇 Change boundary (變更邊界)

  5. 選取用於許可界限新政策。您可以使用搜尋方塊來篩選政策清單。在選取政策後,選擇 Change boundary (變更界限)

移除 IAM 身分許可 (主控台)

您可以使用 AWS Management Console 來將許可從身分 (使用者、使用者群組或角色) 中移除。若要執行此操作,請分開可控制許可的受管政策,或移除可做為許可界限的政策。您也可以刪除內嵌政策。

中斷連結當做許可政策來使用的受管政策 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選取要分開的政策名稱旁的核取方塊。您可以使用搜尋方塊來篩選政策清單。

  4. 選擇 Actions (動作),然後選擇 Detach (分開)。

  5. 選取要從中分開政策的身分。您可以使用搜尋方塊來篩選身分清單。在選取身分後,選擇 Detach policy (分開政策)

移除許可界限 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。

  4. 在政策摘要頁面上,選擇 Policy usage tab (政策使用標籤),然後在必要時,開啟 Permissions boundaries (許可界限) 區段,然後選擇 Remove boundary (移除界限)

  5. 確認您想要移除界限,然後選擇 Remove (移除)

刪除內嵌政策 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在服務導覽窗格中,選擇 User groups (使用者群組)、Users (使用者) 或者 Roles (角色)。

  3. 在清單中,選擇包含要刪除的政策的使用者群組、使用者、或角色的名稱。

  4. 選擇 Permissions (許可) 標籤。

  5. 執行下列任意一項:

    • User groups (使用者群組) 或 Roles (角色) 中,選取政策旁的核取方塊,然後選擇 Remove (移除)。

    • Users (使用者) 中,選擇 X

  6. 執行下列任意一項:

    • User groups (使用者群組) 或 Roles (角色) 中,在確認方塊中選擇 Delete (刪除)。

    • Users (使用者) 中,對於直接相連的政策,在確認方塊中選擇 Detach (分離),或者對於從群組中連接的政策,或選擇 Remove from group (從群組中移除)。

新增 IAM 政策 (AWS CLI)

您可以使用 AWS CLI 來將許可新增至身分 (使用者、使用者群組或角色)。若要執行此操作,連接可控制許可的受管政策,或指定可做為許可界限的政策。您也可以嵌入內嵌政策。

將受管政策當做實體的許可政策來使用 (AWS CLI)

  1. (選用) 若要檢視受管政策的相關資訊,請執行下列命令:

  2. 若要將受管政策連接到身分 (使用者、使用者群組或角色),請使用下列其中一項命令:

使用受管政策設定許可界限 (AWS CLI)

  1. (選用) 若要檢視受管政策的相關資訊,請執行下列命令:

  2. 若要使用受管政策來為實體 (使用者或角色) 設定許可界限,請使用下列其中一個命令:

嵌入內嵌政策 (AWS CLI)

若要將內嵌政策嵌入到身分 (非服務連結角色的使用者、使用者群組或角色),請使用下列命令:

移除 IAM 政策 (AWS CLI)

您可以使用 AWS CLI,分開負責控制許可的受管政策,或移除做為許可界限的政策。您也可以刪除內嵌政策。

中斷連結當做許可政策來使用的受管政策 (AWS CLI)

  1. (選用) 若要檢視關於政策的資訊,請執行下列命令:

  2. (選用) 如果要了解的政策和身分之間的關係,請執行下列命令:

  3. 若要從身分中分開受管政策 (使用者、使用者群組或角色),請使用下列其中一項命令:

移除許可界限 (AWS CLI)

  1. (選用) 若要檢視目前使用哪個受管政策來為使用者或角色設定許可界限,請執行下列命令:

  2. (選用) 若要檢視目前在哪些使用者或角色使用受管政策的許可界限,請執行下列命令:

  3. (選用) 若要檢視受管政策的相關資訊,請執行下列命令:

  4. 若要從使用者或角色移除許可界限,請使用下列其中一個命令:

若要刪除內嵌政策 (AWS CLI)

  1. (選用) 若要列出連接到身分 (使用者、使用者群組或角色) 的所有內嵌政策,請使用下列其中一項命令:

  2. (選用) 若要擷取嵌入到身分 (使用者、使用者群組或角色) 中的內嵌政策文件,請使用下列其中一項命令:

  3. 若要從身分中刪除內嵌政策 (非服務連結角色的使用者、使用者群組或角色),請使用下列命令:

新增 IAM 政策 (AWS API)

您可以使用 AWS API,來連接可控制許可的受管政策,或指定可做為許可界限的政策。您也可以嵌入內嵌政策。

將受管政策當做實體的許可政策來使用 (AWS API)

  1. (選用) 若要檢視關於政策的資訊,請呼叫下列操作:

  2. 若要將受管政策連接到身分 (使用者、使用者群組或角色),請呼叫下列其中一項操作:

使用受管政策設定許可界限 (AWS API)

  1. (選用) 若要檢視受管政策的相關資訊,請呼叫下列操作:

  2. 若要使用受管政策來為實體 (使用者或角色) 設定許可界限,請呼叫下列其中一個操作:

嵌入內嵌政策 (AWS API)

若要將內嵌政策嵌入在身分 (非服務連結角色的使用者、使用者群組或角色),請呼叫下列操作:

移除 IAM 政策 (AWS API)

您可以使用 AWS API,分開負責控制許可的受管政策,或移除做為許可界限的政策。您也可以刪除內嵌政策。

中斷連結當做許可政策來使用的受管政策 (AWS API)

  1. (選用) 若要檢視關於政策的資訊,請呼叫下列操作:

  2. (選用) 如果要了解的政策和身分之間的關係,請呼叫下列操作:

  3. 若要從身分中分開受管政策 (使用者、使用者群組或角色),請呼叫下列其中一項操作:

移除許可界限 (AWS API)

  1. (選用) 若要檢視目前使用哪個受管政策來為使用者或角色設定許可界限,請呼叫下列操作:

  2. (選用) 若要檢視目前在哪些使用者或角色使用受管政策的許可界限,請呼叫下列操作:

  3. (選用) 若要檢視受管政策的相關資訊,請呼叫下列操作:

  4. 若要從使用者或角色移除許可界限,請呼叫下列其中一個操作:

若要刪除內嵌政策 (AWS API)

  1. (選用) 若要列出連接到身分 (使用者、使用者群組或角色) 的所有內嵌政策,請呼叫下列其中一項操作:

  2. (選用) 若要擷取嵌入到身分 (使用者、使用者群組或角色) 中的內嵌政策文件,請呼叫下列其中一項操作:

  3. 若要從身分中刪除內嵌政策 (非服務連結角色的使用者、使用者群組或角色),請呼叫下列操作: