管理 IAM 使用者密碼 - AWS Identity and Access Management

管理 IAM 使用者密碼

使用 AWS Management Console 來運用 AWS 資源的 IAM 使用者必須具有密碼才能登入。您可以建立、更改或刪除您的 AWS 帳戶中 IAM 使用者的密碼。

向使用者分配密碼後,該使用者可使用您的帳戶的登入 URL 來登入 AWS Management Console,如下所示:

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

如需有關 IAM 使用者如何登入 AWS Management Console 的詳細資訊,請參閱 以 IAM 使用者或根使用者身分登入 AWS Management Console

即使使用者有自己的密碼,還是需要許可才能存取您的 AWS 資源。使用者預設沒有任何許可。為授予使用者所需的許可,您可向使用者或使用者所屬的群組分配政策。如需有關建立使用者與群組的詳細資訊,請參閱 IAM 身分 (使用者、使用者群組和角色)。如需使用政策來設定許可的詳細資訊,請參閱 變更 IAM 使用者的許可

您可以授予使用者變更自己密碼的許可。如需詳細資訊,請參閱 允許 IAM 使用者變更自己的密碼。如需使用者存取您的帳戶登入頁面的更多資訊,請參閱 以 IAM 使用者或根使用者身分登入 AWS Management Console

建立、變更或刪除 IAM 使用者密碼 (主控台)

您可以使用 AWS Management Console 來管理 IAM 使用者的密碼。

當使用者離開您的組織或不再需要存取 AWS 時,請務必找到使用者所使用的憑證並確保這些憑證不會再被使用。在理想情況下,如果不再需要可刪除憑證。有需要時,您隨時可以在日後重新建立它們。至少也應變更憑證,讓前任持有者無法再繼續存取。

為 IAM 使用者新增密碼 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為之建立密碼的使用者名稱。

  4. 選擇 Security credentials (安全性憑證) 索引標籤,然後在 Sign-in credentials (登入憑證) 下,選擇 Console password (主控台密碼) 旁的 Manage password (管理密碼)。

  5. 若尚未選取,請在 Manage console access (管理主控台存取)Console access (主控台存取) 中,選擇 Enable (啟用)。如果已停用主控台存取,則無需密碼。

  6. 對於 Set password (設定密碼),選擇是否讓 IAM 產生密碼或者建立自訂密碼:

    • 若要讓 IAM 產生密碼,請選擇 Autogenerated password (自動產生的密碼)。

    • 若要建立自訂密碼,請選擇 Custom password (自訂密碼) 並輸入密碼。

      注意

      您建立的密碼必須符合帳戶的密碼政策

  7. 若要求使用者在登入時建立新密碼,請選擇 Require password reset (需要密碼重設)。接著選擇 Apply (套用)

    重要

    若您選取 Require password reset (需要密碼重設) 選項,請確認使用者擁有更改密碼的許可。如需詳細資訊,請參閱 允許 IAM 使用者變更自己的密碼

  8. 如果選擇此選項來自動產生密碼,請在 New password (新密碼) 對話方塊中選擇 Show (顯示)。這可讓您能夠查看密碼,以便與使用者進行共用。

    重要

    基於安全原因,在完成此步驟後您無法存取該密碼,但您可以隨時建立新密碼。

為 IAM 使用者變更密碼 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為之變更密碼的使用者名稱。

  4. 選擇 Security credentials (安全性憑證) 索引標籤,然後在 Sign-in credentials (登入憑證) 下,選擇 Console password (主控台密碼) 旁的 Manage password (管理密碼)。

  5. 若尚未選取,請在 Manage console access (管理主控台存取)Console access (主控台存取) 中,選擇 Enable (啟用)。如果已停用主控台存取,則無需密碼。

  6. 對於 Set password (設定密碼),選擇是否讓 IAM 產生密碼或者建立自訂密碼:

    • 若要讓 IAM 產生密碼,請選擇 Autogenerated password (自動產生的密碼)。

    • 若要建立自訂密碼,請選擇 Custom password (自訂密碼) 並輸入密碼。

      注意

      如果目前已設定密碼,您建立的密碼必須符合帳戶的密碼政策

  7. 若要求使用者在登入時建立新密碼,請選擇 Require password reset (需要密碼重設)。接著選擇 Apply (套用)

    重要

    若您選取 Require password reset (需要密碼重設) 選項,請確認使用者擁有更改密碼的許可。如需詳細資訊,請參閱 允許 IAM 使用者變更自己的密碼

  8. 如果選擇此選項來自動產生密碼,請在 New password (新密碼) 對話方塊中選擇 Show (顯示)。這可讓您能夠查看密碼,以便與使用者進行共用。

    重要

    基於安全原因,在完成此步驟後您無法存取該密碼,但您可以隨時建立新密碼。

刪除 (停用) IAM 使用者的密碼 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為之刪除密碼的使用者名稱。

  4. 選擇 Security credentials (安全性憑證) 索引標籤,然後在 Sign-in credentials (登入憑證) 下,選擇 Console password (主控台密碼) 旁的 Manage password (管理密碼)。

  5. 針對 Console access (主控台存取),請選擇 Disable (停用),然後選擇 Apply (套用)

重要

您可以移除使用者的密碼以停用其對 AWS Management Console 的存取權限。這可以防止他們使用其使用者名稱和密碼登入 AWS Management Console。它不會變更其許可,也不會阻止他們使用擔任的角色來存取主控台。如果使用者擁有效的存取金鑰,這些金鑰將會繼續運作,並允許透過 AWS CLI、Tools for Windows PowerShell、AWS API,或 AWS Console Mobile Application 存取。

建立、變更或刪除 IAM 使用者密碼 (AWS CLI)

您可以使用 AWS CLI API 來管理 IAM 使用者的密碼。

建立密碼 (AWS CLI)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:aws iam get-login-profile

  2. 若要建立密碼,請執行此命令:aws iam create-login-profile

若要變更使用者的密碼 (AWS CLI)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:aws iam get-login-profile

  2. 若要變更密碼,請執行此命令:aws iam update-login-profile

若要刪除 (停用) 使用者的密碼 (AWS CLI)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:aws iam get-login-profile

  2. (選用) 若要判斷密碼前次使用的時間,請執行此命令:aws iam get-user

  3. 若要刪除密碼,請執行此命令:aws iam delete-login-profile

重要

當您刪除使用者密碼時,使用者將無法繼續登入 AWS Management Console。如果使用者擁有有效的存取金鑰,他們將繼續運作並允許透過 AWS CLI、Tools for Windows PowerShell 或 AWS API 函數呼叫進行存取。在使用 AWS CLI、Tools for Windows PowerShell 或 AWS API 從您的 AWS 帳戶中刪除使用者時,您必須先使用此操作來刪除密碼。如需詳細資訊,請參閱 刪除 IAM 使用者 (AWS CLI)

建立、變更或刪除 IAM 使用者密碼 (AWS API)

您可以使用 AWS API 來管理 IAM 使用者的密碼。

建立密碼 (AWS API)

  1. (選用) 若要判斷使用者是否有密碼,請呼叫此操作:GetLoginProfile

  2. 若要建立密碼,請呼叫此操作:CreateLoginProfile

若要變更使用者的密碼 (AWS API)

  1. (選用) 若要判斷使用者是否有密碼,請呼叫此操作:GetLoginProfile

  2. 若要變更密碼,請呼叫此操作:UpdateLoginProfile

若要刪除 (停用) 使用者的密碼 (AWS API)

  1. (選用) 若要判斷使用者是否有密碼,請執行此命令:GetLoginProfile

  2. (選用) 若要判斷密碼前次使用的時間,請執行此命令:GetUser

  3. 若要刪除密碼,請執行此命令:DeleteLoginProfile

重要

當您刪除使用者密碼時,使用者將無法繼續登入 AWS Management Console。如果使用者擁有有效的存取金鑰,他們將繼續運作並允許透過 AWS CLI、Tools for Windows PowerShell 或 AWS API 函數呼叫進行存取。在使用 AWS CLI、Tools for Windows PowerShell 或 AWS API 從您的 AWS 帳戶中刪除使用者時,您必須先使用此操作來刪除密碼。如需詳細資訊,請參閱 刪除 IAM 使用者 (AWS CLI)