變更 IAM 使用者的許可 - AWS Identity and Access Management

變更 IAM 使用者的許可

您可以使用 AWS 帳戶變更 IAM 使用者的許可,方法是變更其群組成員資格、複製現有使用者的許可、將政策直接連接到使用者,或是設定許可界限。許可界限控制使用者可以擁有的許可上限。許可界限是進階 AWS 功能。

如需有關修改使用者許可所需的許可資訊,請參閱 存取 IAM 資源所需的許可

檢視使用者存取

變更使用者的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的委託人 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 使用上次存取的資訊精簡 AWS 的許可

根據使用者的存取活動產生政策

您有時可能會對 IAM 實體 (使用者或角色) 授予超出其要求的許可。為了協助您精簡所授予的許可,您可以根據實體的存取活動產生 IAM 政策。IAM Access Analyzer 會審查您的 AWS CloudTrail 日誌並產生政策範本,它包含實體在指定日期範圍內所使用的許可。您可以使用範本建立具有精細許可的受管政策,然後將其連接至 IAM 實體。如此一來,您只會授予使用者或角色與特定使用案例的 AWS 資源互動所需的許可。如需進一步了解,請參閱 根據存取活動產生政策

新增許可到使用者 (主控台)

IAM 提供三種方法將許可政策新增到使用者:

  • 新增使用者至群組 – 讓使用者成為群組的成員。群組的政策連接到使用者。

  • 從現有的使用者複製許可 – 複製所有群組成員資格、連接的受管政策、內嵌政策,以及來源使用者的任何現有許可界限。

  • 直接連接政策到使用者 – 將受管政策直接連接到使用者。最佳實務是建議您改為將政策連接到群組,然後讓使用者成為適當群組的成員。

重要

如果使用者具有許可界限,則您無法新增比許可界限允許的還要多的許可至使用者。

透過將使用者新增到群組來新增許可

新增使用者至群組會立即影響使用者。

若要透過將使用者新增到群組來新增許可

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 在主控台的 Groups (群組) 欄中,檢閱使用者的目前群組成員資格。如有必要,請透過完成以下步驟將欄位新增到使用者表格:

    1. 在最右側的表格上方,選擇設定符號 ( 
                    Settings icon
                  )。

    2. Manage Columns (管理欄) 對話方塊中,選取 Groups (群組) 欄。或者,您也可以清除不想在使用者表格中顯示的任何欄標題的核取方塊。

    3. 選擇 Close (關閉) 返回使用者清單。

    Groups (群組) 欄會告訴您使用者所屬的群組。此欄位包括多達兩個群組的群組名稱。如果使用者是三個或以上群組的成員,前兩個群組會顯示 (以字母順序排列),以及包含其他群組成員資格的數量。例如,如果使用者屬於群組 A、群組 B、群組 C 和群組 D,則欄位包含值 Group A, Group B + 2 more (群組 A、群組 B+2 更多)。若要查看使用者所屬的群組總數,您可以將 Group count (群組計數) 欄新增至使用者資料表。

  4. 選擇您想要為其修改許可的使用者名稱。

  5. 選擇 Permissions (許可) 標籤,然後選擇 Add permissions (新增許可)。選擇 Add user to group (將使用者新增至群組)

  6. 勾選您要使用者加入的各個群組的核取方塊。如果成為群組的成員,清單會顯示每個群組的名稱和使用者所接收的政策。

  7. (選用) 除了從現有群組選取之外,您還可以選擇 Create group (建立群組) 來定義一個新的群組:

    1. 在新標籤中,針對 Group name (群組名稱) 輸入新群組的名稱。

      注意

      AWS 帳戶中的 IAM 資源數量和大小均有所限制。如需詳細資訊,請參閱 IAM 和 AWS STS 配額、名稱要求和字元限制。群組名稱可以是長達 128 個字母、數字以及這些字元的組合:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、@ 符號以及連字號 (-)。名稱在帳戶中必須是唯一的。它們無法透過大小寫進行區分。例如,您無法建立兩個名為 TESTGROUPtestgroup 的群組。

    2. 選擇一個或多個您要連接到群組的受管政策的核取方塊。您也可以選擇 Create policy (建立政策) 來建立新的受管政策。如果您這麼做時,在新政策完成時會返回此瀏覽器標籤或視窗;選擇 Refresh (重新整理),然後選擇新的政策,以將它連接至您的群組。如需詳細資訊,請參閱 建立 IAM 政策

    3. 選擇 Create group (建立群組)

    4. 返回原始標籤,重新整理您的群組清單。然後,選取新群組的核取方塊。

  8. 選擇 Next: Review (下一步:檢閱),以查看要新增至使用者的群組成員資格清單。然後選擇 Add permissions (新增許可)

透過從其他使用者複製來新增許可

複製許可會立即影響使用者。

若要透過從其他使用者複製許可來新增許可至使用者

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者),並選擇您要修改其許可的使用者名稱,然後選擇 Permissions (許可) 標籤。

  3. 選擇 Add permissions (新增許可),然後選擇 Copy permissions from existing user (複製現有使用者的許可)。清單會顯示可用的使用者及其群組成員資格和連接的政策。如果完整的群組或政策清單無法容納在一行中,您可以選擇 and n more (以及更多) 的連結。這麼做會開啟新的瀏覽器索引標籤,並看到完整的政策清單 (Permissions (許可) 索引標籤) 和群組 (Groups (群組) 索引標籤)。

  4. 選擇您要複製許可的使用者旁的選項按鈕。

  5. 選擇 Next: Review (下一步:檢閱),以查看要對使用者進行的變更清單。然後選擇 Add permissions (新增許可)

透過直接連接政策到使用者來新增許可

連接政策會立即影響使用者。

若要透過直接連接受管政策來新增許可到使用者

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者),並選擇您要修改其許可的使用者名稱,然後選擇 Permissions (許可) 標籤。

  3. 選擇 Add permissions (新增許可),然後選擇 Attach existing policies directly to user (將現有政策直接連接至使用者)

  4. 選擇一個或多個您要連接到使用者的受管政策的核取方塊。您也可以選擇 Create policy (建立政策) 來建立新的受管政策。如此,您會在新政策建立完成時返回此瀏覽器標籤或視窗。選擇 Refresh (重新整理),然後選取要連接至使用者之新政策的核取方塊。如需詳細資訊,請參閱 建立 IAM 政策

  5. 選擇 Next: Review (下一步:檢閱),以查看要連接至使用者的政策清單。然後選擇 Add permissions (新增許可)

設定使用者的許可界限

設定許可界限會立即影響使用者。

設定使用者的許可界限

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為其變更許可界限的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。如有必要,請開啟 Permissions boundary (許可界限) 區段,然後選擇 Set boundary (設定界限)

  5. 選擇要用於許可界限的政策。

  6. 選擇 Set boundary (設定界限)

變更使用者的許可 (主控台)

IAM 可讓您以下列方式變更與使用者建立關聯的許可:

  • 編輯許可政策 – 編輯使用者的內嵌政策、使用者群組的內嵌政策,或編輯直接連接到使用者或從群組連接的受管政策。如果使用者具有許可界限,則您無法提供比當成使用者的許可界限來人用的政策所允許的還要更多的許可。

  • 變更許可界限 – 變更用作使用者的許可界限的政策。這會擴展或限制使用者可以擁有的許可上限。

編輯連接到使用者的許可政策

變更許可會立即影響使用者。

編輯使用者連接的受管政策

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為其變更許可政策的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。如有必要,請開啟 Permissions policies (許可政策) 區段。

  5. 選擇您要編輯以檢視詳細資訊的政策名稱。選擇 Used as (用作) 標籤,以檢視可能受到政策編輯影響的其他實體。

  6. 選擇 Permissions (許可) 標籤,然後檢閱政策授予的許可。然後選擇 Edit policy (編輯政策)

  7. 使用 Visual editor (視覺化編輯器) 索引標籤或 JSON 索引標籤來編輯政策,並解決任何政策驗證建議。如需詳細資訊,請參閱 編輯 IAM 政策

  8. 選擇 Review policy (檢閱政策),並檢閱政策摘要,然後選擇 Save changes (儲存變更)。

變更使用者的許可界限

變更許可界限會立即影響使用者。

變更用於設定使用者許可界限的政策

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要為其變更許可界限的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。如有必要,開啟 Permissions boundary (許可界限) 區段,然後選擇 Change boundary (變更界限)

  5. 選擇要用於許可界限的政策。

  6. 選擇 Change boundary (變更界限)

從使用者移除許可政策 (主控台)

移除政策會立即影響使用者。

若要撤銷 IAM 使用者的許可

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要移除其許可界限的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。

  5. 如果您想要透過移除現有政策來撤銷許可,請檢視 Policy type (政策類型),以了解使用者如何先取得該政策,再選擇 X 來移除政策:

    • 如果因群組成員資格而套用政策,則選擇 X 會從群組移除使用者。請記住,您可能會有多個政策連接到單一群組。如果您移除群組中的使用者,使用者會失去透過群組成員資格收到的「所有」政策的存取權。

    • 如果政策是直接連接到使用者的受管政策,則選擇 X 會將政策與使用者分開。這不會影響政策本身或政策可能連接的任何其他目標實體。

    • 如果政策是內嵌政策,則選擇 X 會從 IAM 移除政策。直接連接到使用者的內嵌政策只存在於該使用者。

從使用者移除許可界限 (主控台)

移除許可界限會立即影響使用者。

從使用者移除許可界限

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇您想要移除其許可界限的使用者名稱。

  4. 選擇 Permissions (許可) 標籤。如有必要,請開啟 Permissions boundary (許可界限) 區段,然後選擇 Remove boundary (移除界限)

  5. 選擇 Remove (移除) 以確認您想要移除許可界限。

新增和移除使用者的許可 (AWS CLI 或 AWS API)

若要以程式設計方式新增或移除許可,您必須新增或移除群組成員資格、連接或分開受管政策,或者新增或刪除內嵌政策。如需詳細資訊,請參閱下列主題: