建立您的第一個 IAM 委派使用者和使用者群組 - AWS Identity and Access Management

建立您的第一個 IAM 委派使用者和使用者群組

若要支援在您的 AWS 帳戶中的多個使用者,您必須委派許可,讓其他人員僅可執行您希望允許的動作。為了達到此目的,可以建立 IAM 使用者群組,內含這些人員需要的許可,然後在您建立 IAM 使用者時,將這些使用者新增到必要的使用者群組。

建立委派 IAM 使用者和使用者群組 (主控台)

您可以使用 AWS Management Console 以建立具有委派許可的 IAM 使用者群組。然後為另一人員建立 IAM 使用者,並將它新增到使用者群組。

為另一人員建立委派使用者群組和使用者 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在左側的導覽窗格中,選擇 Policies (政策)

    如果這是您第一次選擇 Policies (政策),將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)

  3. 選擇 Create policy (建立政策)。

  4. 選擇 JSON 索引標籤,然後在該視窗的右側選擇 Import managed policy (匯入受管政策)

  5. Import managed policies (匯入受管政策) 視窗中,輸入 power 來縮短政策清單。然後選擇 PowerUserAccess 列。

  6. 選擇 Import (匯入),以在 JSON 索引標籤中顯示政策。

  7. 選擇 Next: Tags (下一步:標籤),然後選擇 Next: Review (下一步:檢閱)

  8. Review policy (檢閱政策) 頁面上,針對 Name (名稱) 輸入 PowerUserExampleCorp。針對 Description (描述),輸入 Allows full access to all services except those for user management。然後選擇 Create policy (建立政策) 來儲存您的工作。

  9. 在導覽窗格中選擇 User groups (使用者群組),然後選擇 Create group (建立群組)

  10. User group Name (使用者群組名稱) 方塊中,輸入 PowerUsers

  11. 在政策清單中,選取 PowerUserExampleCorp 旁的核取方塊。

  12. 選擇 Create group (建立群組)。

  13. 在導覽窗格中,選擇 Users (使用者),然後選擇 Add users (新增使用者)

  14. 針對 User name (使用者名稱),輸入 mary.major@examplecorp.com

  15. 選擇 Add another user (新增其他使用者),並為第二個使用者輸入 diego.ramirez@examplecorp.com

  16. 選取 AWS Management Console access (主控台存取) 旁的核取方塊,然後選擇 Autogenerated password (自動產生密碼)。在預設情況下,AWS 強制新使用者在第一次登入時建立新的密碼。選取使用者必須在下次登入時建立新密碼旁的核取方塊。

  17. 選擇 Next: Permissions (下一步:許可)

  18. Set permissions (設定許可) 頁面上,請勿將許可新增至使用者。在使用者確認他們已變更密碼並登入之後,您將新增政策。

  19. 選擇 Next: Tags (下一步:標籤)

  20. (選用) 藉由連接標籤做為索引鍵/值組,將中繼資料新增至使用者。如需有關在 IAM 中使用標籤的詳細資訊,請參閱 標記 IAM 資源

  21. 選擇 Next: Review (下一步:檢閱),查看要新增至新使用者的使用者群組成員資格清單。準備好繼續時,請選擇 Create user (建立使用者)

  22. 下載或複製新使用者的密碼,並安全地將其傳送給使用者。為您的使用者分別提供 IAM 使用者主控台頁面的連結及其使用者名稱。

  23. 當您的使用者確認他們可以成功登入之後,請視需要在導覽窗格中選擇 Users (使用者)。然後選擇其中一個使用者名稱。

  24. Permissions (許可) 索引標籤上,選擇 Add permissions (新增許可)。選擇 Add user to group (將使用者新增至群組),然後選取 PowerUsers (進階使用者) 旁的核取方塊。

  25. 選擇 Next: Review (下一步:檢閱),然後選擇 Add Permissions (新增許可)

減少使用者群組許可

PowerUser 使用者群組的成員能夠完整存取所有服務,除了可提供使用者管理動作 (像是 IAM 和 Organizations) 的幾個服務。在過了預先定義的閒置期間 (例如 90 天) 後,您可以檢閱您使用者群組成員已存取的服務。然後,您可以降低 PowerUserExampleCorp 政策的許可,來只包含您團隊所需的服務。

如需上次存取資訊的詳細資訊,請參閱 使用上次存取的資訊精簡 AWS 的許可

檢閱上次存取的資訊

等待預先定義的閒置期間 (例如 90 天) 過去。然後,您可以檢閱使用者或使用者群組的上次存取的資訊,以了解您的使用者上次嘗試存取 PowerUserExampleCorp 政策允許之服務的時間。

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 User groups (使用者群組),然後選擇 PowerUser (進階使用者) 群組名稱。

  3. 在使用者群組摘要頁面中,選擇 Access Advisor (存取 Advisor) 索引標籤。

    上次存取資訊的表格會顯示使用者群組成員上次嘗試存取每個服務的時間,自最新的嘗試依時間順序列出。此表格僅包含政策允許的服務。在本例子中,PowerUserExampleCorp 政策允許對所有 AWS 服務的存取。

  4. 檢閱表格,並製作您的使用者群組成員最近存取的服務清單。

    例如,假設您的團隊在最後一個月只存取 Amazon EC2 和 Amazon S3 服務。但是,他們在六個月前曾存取 Amazon EC2 Auto Scaling 和 IAM。您知道他們之前在調查 EC2 Auto Scaling,但決定這是不必要的。您也知道他們用 IAM 來建立角色,以允許 Amazon EC2 存取 S3 儲存貯體中的資料。因此,您決定縮減使用者的許可,以僅允許對 Amazon EC2 和 Amazon S3 服務的存取。

編輯政策以降低許可

檢閱上次存取資訊之後,您就可以編輯政策僅允許存取使用者所需的服務。

使用資料,以允許僅對必要服務的存取

  1. 在導覽窗格中,選擇 Policies (政策),然後選擇 PowerUserExampleCorp 政策名稱。

  2. 選擇 Edit policy (編輯政策),然後選擇 JSON 索引標籤。

  3. 編輯 JSON 政策文件,以僅允許您所需的服務。

    例如,編輯包含 Allow 效果和 NotAction 元素的第一個陳述式,以僅允許 Amazon EC2 和 Amazon S3 動作。若要進行此作業,使用含 FullAccessToSomeServices ID 的陳述式來加以取代。您的新政策將如以下範例政策所示。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccessToSomeServices", "Effect": "Allow", "Action": [ "ec2:*", "s3:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:DeleteServiceLinkedRole", "iam:ListRoles", "organizations:DescribeOrganization" ], "Resource": "*" } ] }
  4. 若要支援授與最低權限的最佳實務,請對在政策驗證期間返回的任何錯誤、警告或建議進行檢閱和修正。

  5. 若要進一步降低您政策對特定動作和資源的許可,請在 CloudTrail Event history (事件歷程記錄) 查看您的事件。您可以在這裡查看您的使用者曾存取之特定動作和資源的詳細資訊。如需詳細資訊,請參閱 AWS CloudTrail 使用者指南中的在 CloudTrail 主控台中檢閱 CloudTrail 事件