在您的 AWS 帳戶 中建立 IAM 使用者 - AWS Identity and Access Management
建立 IAM 使用者 (主控台)建立 IAM 使用者 (AWS CLI)建立 IAM 使用者 (AWS API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在您的 AWS 帳戶 中建立 IAM 使用者

重要

IAM 最佳實務建議您要求人類使用者搭配身分提供者使用聯合功能,以便使用臨時憑證存取 AWS,而不是使用具有長期憑證的 IAM 使用者。

注意

如果您是因為正在尋找 Product Advertising API 相關資訊以在您的網站上銷售 Amazon 產品而找到此頁面,請參閱 Product Advertising API 5.0 文件

如果您從 IAM 主控台到達此頁面,可能您的帳戶並不包含 IAM 使用者,即使您登入。您可以使用角色登入為 AWS 帳戶根使用者,或者使用暫時性登入資料登入。若要進一步了解 IAM 身分,請參閱IAM 身分 (使用者、使用者群組和角色)

建立使用者並使該使用者執行工作的程序,包含以下步驟:

  1. 在 AWS Management Console、AWS CLI、Tools for Windows PowerShell,或是使用 AWS API 操作建立使用者。如果您在 AWS Management Console 中建立使用者,則會根據您的選擇自動處理步驟 1-4。如果您透過程式設計的方式建立使用者,則必須個別執行每一個這些步驟。

  2. 根據使用者需要的存取類型,建立使用者的憑證:

    • 啟用主控台存取 (選用):如果使用者需要存取 AWS Management Console,請 為使用者建立密碼。針對使用者停用主控台存取可以防止他們使用其使用者名稱和密碼登入 AWS Management Console。它不會變更其許可,也不會阻止他們使用擔任的角色來存取主控台。

    提示

    僅建立使用者需要的憑證。例如,對於只需要透過 AWS Management Console 存取的使用者,不建立存取金鑰。

  3. 透過將使用者新增到一個或多個群組,提供使用者執行所需任務的許可。您也可以將許可政策直接連接到使用者來授予許可。不過,我們建議您改為將您的使用者放入群組中,透過連接到這些群組的政策來管理許可。您也可以使用許可界限來限制使用者可以擁有的許可,但這並不常見。

  4. (選用) 藉由連接標籤將中繼資料新增至使用者。如需有關在 IAM 中使用標籤的詳細資訊,請參閱 標記 IAM 資源

  5. 提供使用者必要的登入資訊。這包括使用者提供這些憑證所在的帳戶登入頁面的密碼和主控台 URL。如需詳細資訊,請參閱 IAM 使用者如何登入 AWS

  6. (選用) 設定使用者的多重要素驗證 (MFA)。MFA 要求使用者每次登入 AWS Management Console 時提供一次性使用的代碼。

  7. (選用) 提供使用者許可,以管理他們自己的安全憑證 (根據預設,使用者沒有管理他們自己的憑證的許可)。如需詳細資訊,請參閱 允許 IAM 使用者變更自己的密碼

如需有關建立使用者所需的許可資訊,請參閱 存取 IAM 資源所需的許可

建立 IAM 使用者 (主控台)

您可以使用 AWS Management Console 來建立 IAM 使用者。

建立 IAM 使用者 (主控台)

  1. 按照《AWS‭‬ 登入使用者指南》‭‬ 如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. 主控台首頁 頁面上選取 IAM 服務。

  3. 在導覽窗格中選取 使用者,然後選取 新增使用者

  4. 指定使用者詳細資訊 頁面 使用者詳細資訊 下方的 使用者名稱 中輸入新使用者的名稱。這是新使用者的 AWS 登入名稱。

    注意

    AWS 帳戶中的 IAM 資源數量和大小均有所限制。如需詳細資訊,請參閱 IAM 和 AWS STS 配額。使用者名稱可以是長達 64 個字母、數字以及這些字元的組合:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、@ 符號、底線 (_) 以及連字號 (-)。名稱在帳戶中必須是唯一的。它們無法透過大小寫進行區分。例如,您不可以建立兩個名為 TESTUSERtestuser 的使用者。使用者名稱用在政策中或作為 ARN 的一部分時,名稱區分大小寫。當主控台中的客戶顯示使用者名稱時 (例如在登入程序期間),使用者名稱不區分大小寫。

  5. 選擇 向 AWS Management Console 提供使用者存取 (選用)。此動作會為新使用者產生 AWS Management Console 登入的登入資料。

    系統會詢問您是否要向使用者提供主控台存取。建議您在 IAM Identity Center (而非 IAM) 中建立使用者。

    • 若要切換至在 IAM Identity Center 建立使用者,請選擇 在 Identity Center 中指定使用者

      如果您尚未啟用 IAM Identity Center,選擇此選項後,系統會將您導向主控台中的服務頁面,以便您啟用該項服務。如需此程序的詳細資訊,請參閱《AWS IAM Identity Center 使用者指南》 中的 https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html

      如果您已啟用 IAM Identity Center,選擇此選項後,系統會將您導向 IAM Identity Center 中的 指定使用者詳細資訊 頁面。如需此程序的詳細資訊,請參閱《AWS IAM Identity Center 使用者指南》 中的 https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html

    • 如果您無法使用 IAM Identity Center,請選擇 我想要建立 IAM 使用者,然後繼續執行此程序。

    1. 主控台密碼 中選取下列其中一個選項:

      • 自動產生的密碼:使用者會取得符合 帳戶密碼政策 的隨機產生密碼。您可在進入 擷取密碼 頁面時檢視或下載密碼。

      • 自訂密碼:系統會將您於方塊內輸入的密碼指派給使用者。

    2. (選用) 系統在預設情況下會選取 使用者在下次登入時必須建立新的密碼 (建議),以確保能夠強制使用者在第一次登入時變更其密碼。

      注意

      如果管理員已啟用 允許使用者變更自己的密碼 帳戶密碼政策設定,則此核取方塊不會執行任何動作。否則,它會自動將名為的 IAMUserChangePassword AWS 受管政策連接到新使用者。政策會授予他們變更自己密碼的許可。

  6. 選取 下一步

  7. 設定許可 頁面上指定為這位使用者指派許可的方式。選擇下列三個選項之一:

    • 新增使用者至群組:如果您想要將使用者指派至一或多個已經有許可政策的群組,請選擇此選項。IAM 會在您帳戶中顯示一系列群組及其連接的政策。您可以選取一或多個現有群組,或選擇 建立群組 來建立新的群組。如需更多詳細資訊,請參閱 變更 IAM 使用者的許可

    • 複製許可:選擇此選項可將所有群組成員資格、連接的受管政策、內嵌的政策及任何現有的 許可界限 從現有使用者複製到新的使用者。IAM 會在您帳戶中顯示一份使用者清單。選擇許可最符合新使用者需求的選項。

    • 直接連接政策:選擇此選項即可查看帳戶中的 AWS 受管和客戶受管政策清單。選取您想要連接至使用者的政策,或選擇 建立政策 來開啟新的瀏覽器標籤並建立新的政策。如需詳細資訊,請參閱程序 建立 IAM 政策 中的步驟 4。建立政策後,請關閉該標籤並返回您的原始標籤,以便將政策新增至使用者。

      提示

      盡可能將您的政策連接到群組,然後讓使用者成為相應群組的成員。

  8. (選用) 設定許可界限。這是進階功能。

    開啟 許可界限 區段,並選擇 使用許可界限來控制許可上限。IAM 顯示您帳戶中的 AWS 受管和客戶受管政策清單。選取用於許可界限的政策,或選擇 建立政策 來開啟新的瀏覽器標籤並建立新的政策。如需詳細資訊,請參閱程序 建立 IAM 政策 中的步驟 4。在您建立政策後,關閉該標籤並返回您的原始標籤,以選取用於許可界限的政策。

  9. 選取 下一步

  10. (選用) 在 檢閱和建立 頁面的 標籤 下方選擇 新增標籤,透過將標籤做為鍵值對連接,來將中繼資料新增至使用者。如需有關在 IAM 中使用標籤的詳細資訊,請參閱 標記 IAM 資源

  11. 查看您目前為止所做的所有選擇。準備好繼續時,請選取 建立使用者

  12. 擷取密碼 頁面上取得指派給使用者的密碼:

    • 選取密碼旁邊的 顯示 來檢視使用者的密碼,以便手動記錄密碼。

    • 選取 下載 .csv 將使用者的登入憑證下載為 .csv 檔案,以便儲存到安全的位置。

  13. 選取 電子郵件登入指示。您的本機郵件用戶端會開啟可供您自訂和傳送給使用者的草稿。電子郵件範本包含每位使用者的以下詳細資訊:

    • 使用者名稱

    • 帳戶登入頁面的 URL。使用以下範例,取代正確的帳戶 ID 號碼或帳戶別名:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console
    重要

    使用者的密碼不會包含在產生的電子郵件中。您必須以遵循組織安全準則的方式向使用者提供密碼。

  14. 如果使用者還要求存取金鑰,請參閱 管理 IAM 使用者的存取金鑰

建立 IAM 使用者 (AWS CLI)

您可以使用 AWS CLI 建立 IAM 使用者。

建立 IAM 使用者 (AWS CLI)

  1. 建立使用者。

  2. (選用) 提供使用者 AWS Management Console 存取權。這需要密碼。您還必須提供使用者您帳戶登入頁面的 URL

  3. (選用) 提供使用者程式設計存取權。這需要存取金鑰。

    • aws iam create-access-key

    • Tools for Windows PowerShell:New-IAMAccessKey

    • IAM API:CreateAccessKey

      重要

      這是您唯一檢視或下載私密存取金鑰的機會,而且您必須將此資訊提供給使用者,他們才能使用 AWS API。請將使用者的新存取金鑰 ID 和私密存取金鑰存放在安全處。在此步驟之後,您將無法再存取該私密索引鍵。

  4. 新增使用者到一個或多個群組。您指定的群組應具有授予適當許可給使用者的連接政策。

  5. (選用) 連接政策到定義使用者許可的使用者。注意:建議您透過將使用者新增至群組並將政策連接至群組,來管理使用者許可,而不要將政策直接連接至使用者。

  6. (選用) 藉由連接標籤將自訂屬性新增至使用者。如需詳細資訊,請參閱 管理 IAM 使用者的標籤 (AWS CLI 或 AWS API)

  7. (選用) 提供使用者許可,來管理他們自己的安全憑證。如需詳細資訊,請參閱 AWS:允許 MFA 驗證的 IAM 使用者在安全登入資料頁面上管理自己的登入資料

建立 IAM 使用者 (AWS API)

您可以使用 AWS API 建立 IAM 使用者。

從 (AWS API) 建立 IAM 使用者

  1. 建立使用者。

  2. (選用) 提供使用者 AWS Management Console 存取權。這需要密碼。您還必須提供使用者您帳戶登入頁面的 URL

  3. (選用) 提供使用者程式設計存取權。這需要存取金鑰。

    • CreateAccessKey

      重要

      這是您唯一檢視或下載私密存取金鑰的機會,而且您必須將此資訊提供給使用者,他們才能使用 AWS API。請將使用者的新存取金鑰 ID 和私密存取金鑰存放在安全處。在此步驟之後,您將無法再存取該私密索引鍵。

  4. 新增使用者到一個或多個群組。您指定的群組應具有授予適當許可給使用者的連接政策。

  5. (選用) 連接政策到定義使用者許可的使用者。注意:建議您透過將使用者新增至群組並將政策連接至群組,來管理使用者許可,而不要將政策直接連接至使用者。

  6. (選用) 藉由連接標籤將自訂屬性新增至使用者。如需詳細資訊,請參閱 管理 IAM 使用者的標籤 (AWS CLI 或 AWS API)

  7. (選用) 提供使用者許可,來管理他們自己的安全憑證。如需更多詳細資訊,請參閱 AWS:允許 MFA 驗證的 IAM 使用者在安全登入資料頁面上管理自己的登入資料