管理 IAM 使用者密碼 - AWS Identity and Access Management
建立、變更或刪除 IAM 使用者密碼 (主控台)建立、變更或刪除 IAM 使用者密碼 (AWS CLI)建立、變更或刪除 IAM 使用者密碼 (AWS API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 IAM 使用者密碼

使用來處理 AWS 資源 AWS Management Console 的 IAM 使用者必須擁有密碼才能登入。您可以建立、更改或刪除您的 AWS 帳戶中 IAM 使用者的密碼。

將密碼指派給使用者之後,使用者可以 AWS Management Console 使用您帳戶的登入 URL 登入,如下所示:

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

如需 IAM 使用者如何登入的詳細資訊 AWS Management Console,請參閱使用AWS 登入 者指南 AWS中的如何登入

即使使用者有自己的密碼,還是需要許可才能存取您的 AWS 資源。使用者預設沒有任何許可。為授予使用者所需的許可,您可向使用者或使用者所屬的群組分配政策。如需有關建立使用者與群組的詳細資訊,請參閱 IAM 身分 (使用者、使用者群組和角色)。如需使用政策來設定許可的詳細資訊,請參閱 變更 IAM 使用者的許可

您可以授予使用者變更自己密碼的許可。如需詳細資訊,請參閱 允許 IAM 使用者變更自己的密碼。如需有關使用者如何存取您帳戶登入頁面的資訊,請參閱 《AWS 登入 使用者指南》 中的 如何登入 AWS

建立、變更或刪除 IAM 使用者密碼 (主控台)

您可以使用 AWS Management Console 來管理 IAM 使用者的密碼。

當使用者離開您的組織或不再需要 AWS 存取權時,請務必尋找他們正在使用的認證,並確保他們不再運作。在理想情況下,如果不再需要可刪除憑證。有需要時,您隨時可以在日後重新建立它們。至少也應變更憑證,讓前任持有者無法再繼續存取。

為 IAM 使用者新增密碼 (主控台)

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為之建立密碼的使用者名稱。

  4. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 啟用主控台存取

  5. [啟用主控台存取權] 中,對於 [主控台密碼],選擇要讓 IAM 產生密碼還是建立自訂密碼:

    • 若要讓 IAM 產生密碼,請選擇 Autogenerated password (自動產生的密碼)。

    • 若要建立自訂密碼,請選擇 Custom password (自訂密碼) 並輸入密碼。

      注意

      您建立的密碼必須符合帳戶的密碼政策

  6. 若要要求使用者登入時建立新的密碼,請選擇 使用者必須在下次登入時建立新的密碼。然後選擇「啟用控制台訪問

    重要

    若您選取 使用者必須在下次登入時建立新的密碼 選項,請確認使用者擁有更改密碼的許可。如需詳細資訊,請參閱 允許 IAM 使用者變更自己的密碼

  7. 若要檢視密碼以便與使用者共用,請在 [主控台密碼] 對話方塊中選擇 [顯示]。

    重要

    基於安全原因,在完成此步驟後您無法存取該密碼,但您可以隨時建立新密碼。

為 IAM 使用者變更密碼 (主控台)

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為之變更密碼的使用者名稱。

  4. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 管理主控台存取

  5. 在 [管理主控台存取] 中,選擇 [重設密碼 (如果尚未選取) 如果停用主控台存取權,則不需要密碼。

  6. 對於主控台存取,請選擇要讓 IAM 產生密碼還是建立自訂密碼:

    • 若要讓 IAM 產生密碼,請選擇 Autogenerated password (自動產生的密碼)。

    • 若要建立自訂密碼,請選擇 Custom password (自訂密碼) 並輸入密碼。

      注意

      如果目前已設定密碼,您建立的密碼必須符合帳戶的密碼政策

  7. 若要要求使用者登入時建立新的密碼,請選擇 使用者必須在下次登入時建立新的密碼

    重要

    若您選取 使用者必須在下次登入時建立新的密碼 選項,請確認使用者擁有更改密碼的許可。如需詳細資訊,請參閱 允許 IAM 使用者變更自己的密碼

  8. 若要撤銷使用者的作用中主控台工作階段,請選擇「撤銷作用中主控台 接著選擇 Apply (套用)

    當您撤銷使用者的作用中主控台工作階段時,IAM 會將新的內嵌政策附加至使用者,拒絕所有動作的所有權限。它包含一個條件,只有在您撤銷權限的時間點之前建立工作階段,以及 future 大約 30 秒時,才會套用限制。如果使用者在您撤銷權限後建立新的工作階段,則拒絕原則不會套用至該使用者。如果使用者使用此方法撤銷自己的作用中主控台工作階段,則會立即從. AWS Management Console

    重要

    若要成功撤銷使用者的作用中主控台工作階段,您必須擁有該使用者的PutUserPolicy權限。這可讓您將AWSRevokeOlderSessions內嵌原則附加至使用者。

  9. 若要檢視密碼以便與使用者共用,請在 [主控台密碼] 對話方塊中選擇 [顯示]。

    重要

    基於安全原因,在完成此步驟後您無法存取該密碼,但您可以隨時建立新密碼。

刪除 (停用) IAM 使用者密碼 (主控台)

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為之刪除密碼的使用者名稱。

  4. 選擇 安全憑證 標籤,然後在 主控台登入 下方選擇 管理主控台存取

  5. 在 [管理主控台存取] 中,選擇 [停用主控台存取 (如果尚未選取 如果停用主控台存取權,則不需要密碼。

  6. 若要撤銷使用者的作用中主控台工作階段,請選擇「撤銷作用中主控台 然後選擇禁用訪問

    重要

    若要成功撤銷使用者的作用中主控台工作階段,您必須擁有該使用者的PutUserPolicy權限。這可讓您將AWSRevokeOlderSessions內嵌原則附加至使用者。

    當您撤銷使用者的作用中主控台工作階段時,IAM 會在 IAM 使用者中內嵌新的內嵌政策,拒絕所有動作的所有許可。它包含一個條件,只有在您撤銷權限的時間點之前建立工作階段,以及 future 大約 30 秒時,才會套用限制。如果使用者在您撤銷權限後建立新的工作階段,則拒絕原則不會套用至該使用者。如果使用者使用此方法撤銷自己的作用中主控台工作階段,則會立即從. AWS Management Console

重要

您可以移除其密碼,以防止 IAM 使用者存取。 AWS Management Console 這樣可以防止他們 AWS Management Console 使用其登錄憑據登錄。它不會變更其許可,也不會阻止他們使用擔任的角色來存取主控台。如果使用者具有使用中的存取金鑰,則他們會繼續運作並允許透過 Windows 工具 AWS CLI PowerShell、 AWS API 或 AWS Console Mobile Application 用程式進行存取。

建立、變更或刪除 IAM 使用者密碼 (AWS CLI)

您可以使用 AWS CLI API 管理 IAM 使用者的密碼。

建立密碼 (AWS CLI)

  1. (可選)要確定用戶是否有密碼,請運行以下命令:aws iam get-login-profile

  2. 要創建密碼,請運行以下命令:aws iam create-login-profile

若要變更使用者的密碼 (AWS CLI)

  1. (可選)要確定用戶是否有密碼,請運行以下命令:aws iam get-login-profile

  2. 要更改密碼,請運行以下命令:aws iam update-login-profile

若要刪除 (停用) 使用者的密碼 (AWS CLI)

  1. (可選)要確定用戶是否有密碼,請運行以下命令:aws iam get-login-profile

  2. (選用) 若要判斷密碼前次使用的時間,請執行此命令:aws iam get-user

  3. 要刪除密碼,請運行以下命令:aws iam delete-login-profile

重要

當您刪除使用者密碼時,使用者將無法繼續登入 AWS Management Console。如果使用者具有使用中的存取金鑰,他們會繼續運作並允許透過 Windows PowerShell 工具或 AWS API 函數呼叫進行存取。 AWS CLI當您使用 AWS CLI PowerShell、Windows 工具或 AWS API 刪除使用者時 AWS 帳戶,您必須先使用此作業刪除密碼。如需詳細資訊,請參閱 刪除 IAM 使用者 (AWS CLI)

在指定時間之前撤銷使用者的作用中主控台工作階段 (AWS CLI)

  1. 若要嵌入在指定時間之前撤銷 IAM 使用者作用中主控台工作階段的內嵌政策,請使用下列內嵌政策並執行此命令:aws iam put-user-policy

    此內嵌政策會拒絕所有權限,並包含AWS:TokenIssue時間條件索引鍵。它會在內嵌政策Condition元素中的指定時間之前撤銷使用者的作用中主控台工作階段。將aws:TokenIssueTime條件索引鍵值取代為您自己的值。

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (可選)若要列出 IAM 使用者中內嵌的內嵌政策名稱,請執行以下命令:aws iam list-user-policies

  3. (可選)若要檢視 IAM 使用者中內嵌的具名內嵌政策,請執行以下命令:aws iam get-user-policy

建立、變更或刪除 IAM 使用者密碼 (AWS API)

您可以使用 AWS API 管理 IAM 使用者的密碼。

若要建立密碼 (AWS API)

  1. (選擇性) 若要判斷使用者是否有密碼,請呼叫此作業:GetLoginProfile

  2. 要創建密碼,請調用以下操作:CreateLoginProfile

若要變更使用者的密碼 (AWS API)

  1. (選擇性) 若要判斷使用者是否有密碼,請呼叫此作業:GetLoginProfile

  2. 要更改密碼,請調用以下操作:UpdateLoginProfile

若要刪除 (停用) 使用者的密碼 (AWS API)

  1. (選擇性) 若要判斷使用者是否有密碼,請執行下列命令:GetLoginProfile

  2. (選擇性) 若要判斷上次使用密碼的時間,請執行下列命令:GetUser

  3. 若要刪除密碼,請執行以下指令:DeleteLoginProfile

重要

當您刪除使用者密碼時,使用者將無法繼續登入 AWS Management Console。如果使用者具有使用中的存取金鑰,他們會繼續運作並允許透過 Windows PowerShell 工具或 AWS API 函數呼叫進行存取。 AWS CLI當您使用 AWS CLI PowerShell、Windows 工具或 AWS API 刪除使用者時 AWS 帳戶,您必須先使用此作業刪除密碼。如需詳細資訊,請參閱 刪除 IAM 使用者 (AWS CLI)

在指定時間之前撤銷使用者的作用中主控台工作階段 (AWS API)

  1. 若要嵌入在指定時間之前撤銷 IAM 使用者作用中主控台工作階段的內嵌政策,請使用下列內嵌政策並執行此命令:PutUserPolicy

    此內嵌政策會拒絕所有權限,並包含AWS:TokenIssue時間條件索引鍵。它會在內嵌政策Condition元素中的指定時間之前撤銷使用者的作用中主控台工作階段。將aws:TokenIssueTime條件索引鍵值取代為您自己的值。

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (選擇性) 若要列出 IAM 使用者中內嵌的內嵌政策名稱,請執行以下命令:ListUserPolicies

  3. (選擇性) 若要檢視 IAM 使用者中內嵌的具名內嵌政策,請執行以下命令:GetUserPolicy