開始使用 IAM 設定

重要

IAM 最佳實務建議您要求人類使用者與身分識別提供者的聯合使用，以 AWS 使用臨時登入資料存取，而不是使用具有長期登入資料的 IAM 使用者。

AWS Identity and Access Management (IAM) 可協助您安全地控制對 Amazon Web Services (AWS) 和帳戶資源的存取。IAM 還可以讓您的登入認證保持私有。您不需專門註冊即可使用 IAM。使用 IAM 免費。

使用 IAM 為使用者和角色等身分提供您的帳戶中資源的存取權。例如，您可以將 IAM 與公司目錄中的現有使用者搭配使用，這些使用者在外部管理， AWS 也可以在中建立 AWS 使用者 AWS IAM Identity Center。聯合身分會擔任定義的 IAM 角色，以存取他們所需的資源。如需有關 IAM Identity Center 的詳細資訊，請參閱 AWS IAM Identity Center 使用者指南中的什麼是 IAM Identity Center？。

注意

IAM 與多種 AWS 產品整合。如需支援 IAM 的服務清單，請參閱 AWS 與 IAM 搭配使用的服務。

主題

• 註冊一個 AWS 帳戶
• 建立具有管理權限的使用者
• 為最低權限許可做好準備
• IAM 管理方法
• 您的 AWS 帳戶 ID 及其別名

註冊一個 AWS 帳戶

如果您沒有 AWS 帳戶，請完成以下步驟來建立一個。

若要註冊成為 AWS 帳戶

1. 開啟 https://portal.aws.amazon.com/billing/signup。

2. 請遵循線上指示進行。

   部分註冊程序需接收來電，並在電話鍵盤輸入驗證碼。

   當您註冊一個時 AWS 帳戶，將創建AWS 帳戶根使用者一個。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。安全性最佳做法是將管理存取權指派給使用者，並僅使用 root 使用者來執行需要 root 使用者存取權的工作。

AWS 註冊過程完成後，會向您發送確認電子郵件。您可以隨時登錄 https://aws.amazon.com/ 並選擇 我的帳戶，以檢視您目前的帳戶活動並管理帳戶。

建立具有管理權限的使用者

註冊後，請保護您的 AWS 帳戶 AWS 帳戶根使用者 AWS IAM Identity Center、啟用和建立系統管理使用者，這樣您就不會將 root 使用者用於日常工作。

保護您的 AWS 帳戶根使用者

1. 選擇 Root 使用者並輸入您的 AWS 帳戶 電子郵件地址，以帳戶擁有者身分登入。AWS Management Console在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 AWS 登入 使用者指南中的以根使用者身分登入。

2. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需指示，請參閱《IAM 使用者指南》中的為 AWS 帳戶 根使用者啟用虛擬 MFA 裝置 (主控台)。

建立具有管理權限的使用者

1. 啟用 IAM Identity Center。

   如需指示，請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center。

2. 在 IAM 身分中心中，將管理存取權授予使用者。

   若要取得有關使用 IAM Identity Center 目錄 做為身分識別來源的自學課程，請參閱《使用指南》 IAM Identity Center 目錄中的「以預設值設定使用AWS IAM Identity Center 者存取」。

以具有管理權限的使用者身分登入

• 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM 身分中心使用者登入的說明，請參閱使用AWS 登入 者指南中的登入 AWS 存取入口網站。

指派存取權給其他使用者

1. 在 IAM 身分中心中，建立遵循套用最低權限許可的最佳做法的權限集。

   如需指示，請參閱《AWS IAM Identity Center 使用指南》中的「建立權限集」。

2. 將使用者指派給群組，然後將單一登入存取權指派給群組。

   如需指示，請參閱《AWS IAM Identity Center 使用指南》中的「新增群組」。

為最低權限許可做好準備

使用 最低權限許可 是 IAM 的最佳實務建議。最低權限許可的概念是指僅授與使用者執行任務所需的許可，而且無需額外許可。設定完成後，請思考支援最低權限許可的方式。根使用者和管理員使用者皆具備執行日常任務時不需要的強大許可。當您在了解 AWS 並測試不同的服務時，我們建議您在 IAM Identity Center 中建立至少一個額外的使用者，而這些使用者可以在不同情況下使用較少的許可。您可以使用 IAM 政策定義特定條件下可對特定資源採取的動作，然後透過權限較低的帳戶連結至這些資源。

如果您使用的是 IAM Identity Center，請考慮使用 IAM Identity Center 許可集來展開行動。若要了解詳情，請參閱《IAM Identity Center 使用者指南》中的建立許可集。

如果您使用的不是 IAM Identity Center，請使用 IAM 角色為不同的 IAM 實體定義許可。如需進一步了解，請參閱建立 IAM 角色。

IAM 角色和 IAM 身分中心許可集都可以根據工作職能使用 AWS 受管政策。如需這些政策所授與權限的詳細資訊，請參閱 AWS 受管理的工作職能政策。

重要

請記住， AWS 受管理的政策可能不會針對您的特定使用案例授與最低權限權限，因為這些權限可供所有 AWS 客戶使用。完成設定後，建議您使用 IAM Access Analyzer 來根據記錄在 AWS CloudTrail的存取活動產生最低權限政策。如需政策產生的詳細資訊，請參閱 IAM Access Analyzer 政策產生。