建立您的第一個 IAM 管理員使用者和群組 - AWS Identity and Access Management

建立您的第一個 IAM 管理員使用者和群組

重要

如果您到達此頁面嘗試為您的應用程式或網站啟用 Amazon 廣告,請參閱成為產品廣告 API 開發人員

做為最佳實務,請勿在不必要時使用 AWS 帳戶根使用者 執行任務。而是應為需要管理員存取權限的每個人建立新的 IAM 使用者。然後,透過將這些使用者放入到一個您附加了 AdministratorAccess 受管政策的「管理員」群組中,使這些使用者成為管理員。

之後,管理員群組中的使用者應為 AWS 帳戶設置群組、使用者等。所有將來的互動均應透過 AWS 帳戶的使用者及其自己的金鑰來進行,而不應使用 根使用者。但是,若要執行一些帳戶和服務管理任務,您必須使用 根使用者 登入資料來登入。若要檢視您必須以 根使用者 身分登入的任務,請參閱需要帳戶根使用者的 AWS 任務

建立管理員 IAM 使用者和管理員群組 (主控台)

此過程將介紹如何使用 AWS 管理主控台自行建立 IAM 使用者,並將該使用者新增到具有已連接受管政策中管理許可的群組。

為您自己建立一個管理員使用者,並將使用者新增至管理員群組 (主控台)

  1. 使用您的 AWS 帳戶電子郵件地址和密碼,在 https://console.aws.amazon.com/iam/AWS 帳戶根使用者 登入 IAM 主控台。

    注意

    強烈建議您遵循使用下方 Administrator IAM 使用者並妥善鎖定根使用者登入資料的最佳實務。僅登入根使用者執行少數帳戶與服務管理作業

  2. 按照以下方式,為您將建立的 IAM 管理使用者啟用帳單資料存取:

    1. 在導覽列上選擇您的帳戶名稱,然後選擇 My Account (我的帳戶)

    2. 請選擇 IAM User and Role Access to Billing Information (IAM 使用者與角色的帳單資訊存取權) 旁邊的 Edit (編輯)

    3. 選取 Activate IAM Access (啟用 IAM 存取) 旁邊的核取方塊,然後選擇 Update (更新)

    4. 在導覽列上,選擇 Services (服務),然後選擇 IAM 來返回 IAM 儀表板。

  3. 在導覽窗格中,選擇 Users (使用者),然後選擇 Add user (新增使用者)

  4. Details (詳細資訊) 頁面上,執行以下作業:

    1. 針對 User name (使用者名稱),輸入 Administrator

    2. 選取 AWS 管理主控台 access (AWS 管理主控台 存取) 的核取方塊,選取 Custom password (自訂密碼),然後在文字方塊中輸入您的新密碼。

    3. 在預設情況下,AWS 強制新使用者在第一次登入時建立新的密碼。您可以選擇清除 User must create a new password at next sign-in (使用者下次登入必須建立新的密碼) 旁的核取方塊,讓新使用者登入時可以重設密碼。

    4. 選擇 Next: Permissions (下一步:許可)

  5. Permissions (許可) 頁面上,執行以下作業:

    1. 選擇 Add user to group (將使用者新增至群組)

    2. 選擇 Create group (建立群組)

    3. Create group (建立群組) 對話方塊中,請於 Group name (群組名稱) 輸入 Administrators

    4. 選取 AdministratorAccess 政策的核取方塊。

    5. 選擇 Create group (建立群組)。

    6. 回到包含群組清單的頁面,選取新群組的核取方塊。如果您沒有在清單中看到新群組,請選擇 Refresh (重新整理)

    7. 選擇 Next: Tags (下一步:標籤)

  6. (選用) 在 Tags (標籤) 頁面上,透過將標籤做為鍵/值對連接,來將中繼資料新增到使用者。如需詳細資訊,請參閱 標記 IAM 使用者和角色

  7. 選擇 Next: Review (下一步:檢閱)。驗證要新增至新使用者的群組成員資格。準備好繼續時,請選擇 Create user (建立使用者)

  8. (選用) 在 Complete (完成) 頁面上,您可以下載包含使用者登入資訊的 .csv 檔案,或是將包含登入說明的電子郵件傳送給使用者。

您可以使用這個相同的程序建立更多群組和使用者,並讓使用者能夠存取您的 AWS 帳戶資源。若要了解使用政策,限制使用者存取特定 AWS 資源的許可,請參閱 存取管理以身分為基礎 (IAM) 的政策範例。要在建立群組之後向其中加入其他使用者,請參閱 在 IAM 群組中新增和移除使用者

建立 IAM 使用者和群組 (AWS CLI)

若您遵循上一節中的步驟,則您已使用 AWS 管理主控台設定管理員群組,同時在您的 AWS 帳戶中建立了 IAM 使用者。此程序顯示建立群組的其他方法。

概觀:設定管理員群組

  1. 建立群組並給予名稱 (例如,Admins)。如需詳細資訊,請參閱 建立群組 (AWS CLI)

  2. 連接一個政策以便為群組提供管理許可—對所有 AWS 動作和資源的存取權限。如需詳細資訊,請參閱將政策連接至群組 (AWS CLI)

  3. 至少新增一個使用者到群組。如需詳細資訊,請參閱 在您的 AWS 帳戶中建立 IAM 使用者

建立群組 (AWS CLI)

本章節將介紹如何在 IAM 系統中建立一個群組。

需求

安裝 AWS Command Line Interface (AWS CLI)。如需詳細資訊,請參閱 AWS Command Line Interface 使用者指南中的安裝 AWS CLI

建立管理員群組 (AWS CLI)

  1. 以您為群組選擇的名稱輸入 aws iam create-group 命令。或者,您可以在群組名稱中包含路徑。如需路徑的詳細資訊,請參閱 易用名稱和路徑。名稱可包含字母、數位以及以下字元:加號 (+)、等號 (=)、逗號 (,)、句點 (.)、at 符號 (@)、底線 (_) 和連字號 (-)。名稱不區分大小寫,且最大長度可為 128 個字元。

    在此範例中,您將建立一個名為 Admins 的群組。

    aws iam create-group --group-name Admins { "Group": { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
  2. 輸入 aws iam list-groups 命令以列出 AWS 帳戶中的群組並確認群組已建立。

    aws iam list-groups { "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } ] }

    回應包含新群組的 Amazon Resource Name (ARN)。ARN 是 AWS 用於識別資源的標準格式。ARN 當中的 12 位數號碼是您的 AWS 帳戶 ID。您分配給群組 (Admins) 的易記名稱將在群組 ARN 的末端顯示。

將政策連接至群組 (AWS CLI)

本節介紹如何附加政策,進而允許群組中的任何使用者對 AWS 帳戶內的任何資源執行任何操作。您可以透過將名為 AdministratorAccess 的 AWS 受管政策連接到 Admins 群組來執行此作業。如需政策的詳細資訊,請參閱 存取管理

新增提供完整管理員許可的政策 (AWS CLI)

  1. 輸入 aws iam attach-group-policy 命令以將名為 AdministratorAccess 的政策連接到 Admins 群組。該命令使用名為 AdministratorAccess 的 AWS 受管政策的 ARN。

    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

    如果命令成功,則不會有回應。

  2. 輸入 aws iam list-attached-group-policies 命令來確認政策已連接到 Admins 群組。

    aws iam list-attached-group-policies --group-name Admins

    在回應中列出附加到 Admins 群組的政策名稱。類似以下的回應會顯示,名為 AdministratorAccess 的政策已附加到 Admins 群組:

    { "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" } ], "IsTruncated": false }

您可使用 aws iam get-policy 命令來確認特定政策的內容。

重要

在您完成管理員群組的設定後,您必須在該群組中至少加入一位使用者。如需新增使用者到群組的詳細資訊,請參閱 在您的 AWS 帳戶中建立 IAM 使用者

相關資源

如需《Amazon Web Services 一般參考》中的相關資訊,請參閱下列資源:

如需與《IAM 使用者指南》中的相關資訊,請參閱下列資源: