變更IAM使用者的許可 - AWS Identity and Access Management
檢視使用者存取根據使用者的存取活動產生政策新增許可到使用者 (主控台)變更使用者的許可 (主控台)從使用者移除許可政策 (主控台)從使用者移除許可界限 (主控台)新增和移除使用者的許可 (AWS CLI 或 AWS API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

變更IAM使用者的許可

您可以透過 AWS 帳戶 變更IAM使用者的群組成員資格、從現有使用者複製許可、將政策直接連接至使用者,或設定許可界限 來變更 中使用者的許可。許可界限控制使用者可以擁有的許可上限。許可界限是一項進階 AWS 功能。

如需有關修改使用者許可所需的許可資訊,請參閱 存取 IAM 資源所需的許可

檢視使用者存取

變更使用者的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 使用上次存取資訊,以縮小 AWS 中的許可範圍

根據使用者的存取活動產生政策

有時候,您可能會將許可授予IAM實體 (使用者或角色),而不是其所需的許可。為了協助您精簡您授予的許可,您可以根據實體的存取活動產生IAM政策。IAM Access Analyzer 會檢閱您的 AWS CloudTrail 日誌,並產生政策範本,其中包含實體在指定日期範圍內使用的權限。您可以使用 範本建立具有精細許可的受管政策,然後將其連接至IAM實體。如此一來,您只會授予使用者或角色所需的許可,才能與特定使用案例 AWS 的資源互動。若要進一步了解,請參閱 IAM Access Analyzer 政策世代

新增許可到使用者 (主控台)

IAM 提供三種將許可政策新增至使用者的方式:

  • 新增使用者至群組 – 讓使用者成為群組的成員。群組的政策連接到使用者。

  • 從現有的使用者複製許可 – 複製所有群組成員資格、連接的受管政策、內嵌政策,以及來源使用者的任何現有許可界限。

  • 直接連接政策到使用者 – 將受管政策直接連接到使用者。為了簡化許可管理,請將您的政策連接至群組,然後讓適當群組IAM的使用者成為成員。

重要

如果使用者具有許可界限,則您無法新增比許可界限允許的還要多的許可至使用者。

透過將使用者新增到群組來新增許可

新增使用者至群組會立即影響使用者。

若要透過將使用者新增到群組來新增許可

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇使用者

  3. 在主控台的群組欄中檢閱IAM使用者的目前群組成員資格。如有必要,請完成下列步驟,將資料欄新增至IAM使用者資料表:

    1. 在最右側的表格上方,選擇設定符號 ( Settings icon )。

    2. 管理欄 對話方塊中,選取 群組 欄。或者,您也可以清除您不想出現在IAM使用者資料表中的任何資料欄標題的核取方塊。

    3. 選擇 關閉 返回使用者清單。

    群組 欄會告訴您使用者所屬的群組。此欄位包括多達兩個群組的群組名稱。如果使用者是三個或以上群組的成員,前兩個群組會顯示 (以字母順序排列),以及包含其他群組成員資格的數量。例如,如果使用者屬於群組 A、群組 B、群組 C 和群組 D,則欄位包含值 Group A, Group B + 2 more (群組 A、群組 B+2 更多)。若要查看使用者所屬的群組總數,您可以將群組計數資料欄新增至IAM使用者資料表。

  4. 選擇您想要為其修改許可的使用者名稱。

  5. 選擇 許可 標籤,然後選擇 新增許可。選擇 將使用者新增至群組

  6. 勾選您要使用者加入的各個群組的核取方塊。如果成為群組的成員,清單會顯示每個群組的名稱和使用者所接收的政策。

  7. (選用) 除了從現有群組選取之外,您還可以選擇 建立群組 來定義一個新的群組:

    1. 在新標籤中的 使用者群組名稱 中輸入新群組的名稱。

      注意

      AWS 帳戶中IAM的資源數量和大小有限。如需詳細資訊,請參閱IAM 和 AWS STS 配額。群組名稱可以是長達 128 個字母、數字以及這些字元的組合:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、@ 符號以及連字號 (-)。名稱在帳戶中必須是唯一的。它們無法透過大小寫進行區分。例如,您無法建立兩個名為 的群組TESTGROUP測試群組

    2. 選擇一個或多個您要連接到群組的受管政策的核取方塊。您也可以選擇 建立政策 來建立新的受管政策。如果您這麼做時,在新政策完成時會返回此瀏覽器標籤或視窗;選擇 重新整理,然後選擇新的政策,以將它連接至您的群組。如需詳細資訊,請參閱使用客戶管理的政策定義自訂IAM權限

    3. 選擇 建立使用者群組

    4. 返回原始標籤,重新整理您的群組清單。然後,選取新群組的核取方塊。

  8. 選擇 下一步,以查看要新增至使用者的群組成員資格清單。然後選擇 新增許可

透過從其他使用者複製來新增許可

複製許可會立即影響使用者。

若要透過從其他使用者複製許可來新增許可至使用者

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 使用者,並選擇您要修改其許可的使用者名稱,然後選擇 許可 標籤。

  3. 選擇 新增許可,然後選擇 複製現有使用者的許可。清單會顯示可用的IAM使用者及其群組成員資格和附加政策。如果群組或政策的完整清單不符合一行,您可以選擇 和 的連結 n 更多 。這麼做會開啟新的瀏覽器索引標籤,並看到完整的政策清單 (許可索引標籤) 和群組 (群組 索引標籤)。

  4. 選擇您要複製許可的使用者旁的選項按鈕。

  5. 選擇 下一步,以查看要對使用者進行的變更清單。然後選擇 新增許可

透過直接連接政策到使用者來新增許可

連接政策會立即影響使用者。

若要透過直接連接受管政策來新增許可到使用者

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 使用者,並選擇您要修改其許可的使用者名稱,然後選擇 許可 標籤。

  3. 選擇 新增許可,然後選擇 直接連接政策

  4. 選擇一個或多個您要連接到使用者的受管政策的核取方塊。您也可以選擇 建立政策 來建立新的受管政策。如此,您會在新政策建立完成時返回此瀏覽器標籤或視窗。選擇 重新整理,然後選取要連接至使用者之新政策的核取方塊。如需詳細資訊,請參閱使用客戶管理的政策定義自訂IAM權限

  5. 選擇 下一步,以查看要連接至使用者的政策清單。然後選擇 新增許可

設定使用者的許可界限

設定許可界限會立即影響使用者。

設定使用者的許可界限

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 使用者

  3. 選擇您想要為其變更許可界限的使用者名稱。

  4. 選擇 許可 標籤。如有必要,請開啟 許可界限 區段,然後選擇 設定許可界限

  5. 選擇要用於許可界限的政策。

  6. 選擇 設定界限

變更使用者的許可 (主控台)

IAM 可讓您以下列方式變更與使用者相關聯的許可:

  • 編輯許可政策 – 編輯使用者的內嵌政策、使用者群組的內嵌政策,或編輯直接連接到使用者或從群組連接的受管政策。如果使用者具有許可界限,則您無法提供比當成使用者的許可界限來人用的政策所允許的還要更多的許可。

  • 變更許可界限 – 變更用作使用者的許可界限的政策。這會擴展或限制使用者可以擁有的許可上限。

編輯連接到使用者的許可政策

變更許可會立即影響使用者。

編輯使用者連接的受管政策

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為其變更許可政策的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。如有必要,請開啟 許可政策 區段。

  5. 選擇您要編輯以檢視詳細資訊的政策名稱。選擇 政策使用 標籤,以檢視可能會受到政策編輯影響的其他實體。

  6. 選擇 許可 標籤,然後檢閱政策授予的許可。然後選擇 編輯政策

  7. 編輯該政策並解決任何政策驗證建議。如需詳細資訊,請參閱編輯IAM策略

  8. 選擇 檢閱政策 ,並檢閱政策摘要,然後選擇 儲存變更

變更使用者的許可界限

變更許可界限會立即影響使用者。

變更用於設定使用者許可界限的政策

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 使用者

  3. 選擇您想要為其變更許可界限的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。如有必要,開啟 許可界限 區段,然後選擇 變更界限

  5. 選擇要用於許可界限的政策。

  6. 選擇 設定界限

從使用者移除許可政策 (主控台)

移除政策會立即影響使用者。

移除IAM使用者的許可

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要移除其許可界限的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。

  5. 如果您想要透過移除現有政策來移除許可,請檢視 類型 了解使用者如何取得該政策,再選擇 移除 來移除該政策:

    • 如果因群組成員資格而套用政策,則選擇 移除 會從群組移除使用者。請記住,您可能會有多個政策連接到單一群組。如果您移除群組中的使用者,使用者會失去透過群組成員資格收到的「所有」政策的存取權。

    • 如果政策是直接連接到使用者的受管政策,則選擇 移除 會將政策與使用者分開。這不會影響政策本身或政策可能連接的任何其他目標實體。

    • 如果政策是內嵌政策,則選擇 X 會從 移除政策IAM。直接連接到使用者的內嵌政策只存在於該使用者。

從使用者移除許可界限 (主控台)

移除許可界限會立即影響使用者。

從使用者移除許可界限

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要移除其許可界限的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。如有必要,請開啟 許可界限 區段,然後選擇 移除界限

  5. 選擇 移除範圍 以確認您想要移除許可界限。

新增和移除使用者的許可 (AWS CLI 或 AWS API)

若要以程式設計方式新增或移除許可,您必須新增或移除群組成員資格、連接或分開受管政策,或者新增或刪除內嵌政策。如需詳細資訊,請參閱下列主題: