AWS Identity and Access Management
使用者指南

在您的 AWS 帳戶中建立 IAM 使用者

您可以在您的 AWS 帳戶中建立一個或多個 IAM 使用者。您可以在某人加入您的團隊時,或是當您建立需要讓 API 對 AWS 呼叫的新應用程式時,建立 IAM 使用者。

重要

如果您到達此頁面的同時嘗試為您的應用程式或網站啟用 Amazon 廣告,請參閱成為產品廣告 API 開發人員

如果您從 IAM 主控台到達此頁面,則您的帳戶可能未包含 IAM 使用者,即使您已登入也一樣。您可以使用角色登入為 AWS account root user,或者使用暫時性登入資料登入。若要進一步了解 IAM 身分,請參閱身分 (使用者、群組和角色)

建立使用者並使該使用者執行工作的程序,包含以下步驟:

  1. 在 AWS Management Console、AWS CLI、Tools for Windows PowerShell 或使用 AWS API 操作來建立使用者。如果您在 AWS Management Console 中建立使用者,則會根據您的選擇自動處理步驟 1–4。如果您透過程式設計的方式建立使用者,則必須個別執行每一個這些步驟。

  2. 根據使用者需要的存取類型,建立使用者的登入資料:

    • Programmatic access (程式設計存取):IAM 使用者可能需要提出 API 呼叫、使用 AWS CLI 或使用 Tools for Windows PowerShell。在這種情況下,為該使用者建立一組存取金鑰 (存取金鑰 ID 和私密存取金鑰)。

    • AWS Management Console access (AWS Management Console 存取):如果使用者需要存取 AWS Management Console,請為使用者建立密碼

    根據最佳實務,僅建立使用者需要的登入資料。例如,對於只需要透過 AWS Management Console 存取的使用者,不建立存取金鑰。

  3. 透過將使用者新增到一個或多個群組,提供使用者執行所需任務的許可。您也可以將許可政策直接連接到使用者來授予許可。不過,我們建議您改為將您的使用者放入群組中,透過連接到這些群組的政策來管理許可。您也可以使用許可界限來限制使用者可以擁有的許可,但這並不常見。

  4. (選用) 藉由附加標籤將中繼資料新增至使用者。如需有關在 IAM 中使用標籤的詳細資訊,請參閱標記 IAM 實體

  5. 提供使用者必要的登入資訊。這包括使用者提供這些登入資料所在的帳戶登入頁面的密碼和主控台 URL。如需詳細資訊,請參閱IAM 使用者如何登入 AWS

  6. (選用) 設定使用者的多重驗證 (MFA)。MFA 要求使用者每次登入 AWS Management Console 時提供一次性使用的代碼。

  7. (選用) 提供使用者許可,以管理他們自己的安全登入資料(根據預設,使用者沒有管理他們自己的登入資料的許可)。 如需詳細資訊,請參閱 允許 IAM 使用者變更自己的密碼

如需有關建立使用者所需的許可資訊,請參閱 存取 IAM 資源所需的許可

建立 IAM 使用者 (主控台)

您可以使用 AWS Management Console來建立 IAM 使用者。

若要建立一個或多個 IAM 使用者 (主控台)

  1. Sign in to the AWS Management Console and open the IAM console at https://console.aws.amazon.com/iam/.

  2. 在導覽窗格中,選擇 Users (使用者),然後選擇 Add user (新增使用者)

  3. 為新使用者輸入使用者名稱。這是 AWS 的登入名稱。如果您想要同時新增多位使用者,請為每位額外的使用者選擇 Add another user (新增其他使用者) 並輸入其使用者名稱。您一次最多可以新增高達 10 位使用者。

    注意

    使用者名稱可以是長達 64 個字母、數字以及這些字元的組合:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、@ 符號以及連字號 (-)。名稱在帳戶中必須是唯一的。它們無法透過大小寫進行區分。例如,您不可以建立兩個名為 TESTUSERtestuser 的使用者。如需 IAM 實體限制的詳細資訊,請參閱IAM 實體和物件的限制

  4. 選擇此使用者集合將擁有的存取權類型。您可以選擇程式設計存取、AWS Management Console 存取或者二者。

    • 如果使用者需要存取 API、AWS CLI 或 Tools for Windows PowerShell,請選取 Programmatic access (程式設計存取)。這會為每位新使用者建立存取金鑰。當您到達 Final (最終) 頁面時可以檢視或下載存取金鑰。

    • 如果使用者需要存取 AWS Management Console,請選取 AWS Management Console access (AWS Management Console 存取)。這會為每位新使用者建立密碼。

    1. 針對 Console password (主控台密碼),選擇以下其中一項:

      • Autogenerated password (自動產生密碼)。每個使用者都會取得符合有效帳戶密碼政策 (如果有) 的隨機產生密碼。您可在進入 Final (最終) 頁面時檢視或下載密碼。

      • Custom password (自訂密碼)。每個使用者都會指派您於方塊內輸入的密碼。

    2. (選用) 建議您選取 Require password reset (需要重設密碼),以確保會強制使用者在第一次登入時變更其密碼。

      注意

      如果您「沒有」啟用帳戶整體密碼政策設定 Allow users to change their own password (允許使用者變更自己的密碼),則選取 Require password reset (需要密碼重設) 會將名為 IAMUserChangePassword 的 AWS受管政策自動連接至新的使用者,授予他們變更自己之密碼的許可。

  5. 選擇 Next: Permissions (下一步:許可)。

  6. Set permissions (設定許可) 頁面上,指定您要如何將許可指派給這組新的使用者。選擇下列三個選項之一:

    • Add user to group (將使用者新增至群組)。如果您想要將使用者指派給一或多個已經有許可政策的群組,請選擇此選項。IAM 會顯示您帳戶中群組和其連接政策的清單。您可以選取一或多個現有群組,或者選擇 Create group (建立群組) 來建立新的群組。如需詳細資訊,請參閱變更 IAM 使用者的許可

    • Copy permissions from existing user (複製現有使用者的許可)。選擇此選項可將所有群組成員資格、連接的受管政策和內嵌的內嵌政策以及任何現有的許可界限,從現有使用者複製到新的使用者。IAM 會顯示您帳戶中的使用者清單。選擇一個最符合新使用者需求的許可。

    • Attach existing policies to user directly (將現有政策直接連接至使用者)。選擇此選項,查看您帳戶中的 AWS 受管和客戶受管政策清單。選取您想要連接到新使用者的政策,或者選擇 Create policy (建立政策) 以開啟新的瀏覽器標籤並從頭建立新的政策。如需詳細資訊,請參閱程序 建立 IAM 政策 (主控台) 中的步驟 4。在您建立政策後,關閉該標籤並返回您的原始標籤,以新增政策到新的使用者。最佳實務是建議您改為將政策連接到群組,然後讓使用者成為適當群組的成員。

  7. (選用) 設定許可界限。這是進階功能。

    開啟 Set permissions boundary (設定許可界限) 區段,然後選擇 Use a permissions boundary to control the maximum user permissions (使用許可界限來控制使用者許可上限)。IAM 會顯示您帳戶中的 AWS 受管和客戶受管政策清單。選取用於許可界限的政策,或者選擇 Create policy (建立政策) 以開啟新的瀏覽器標籤,並從頭建立新的政策。如需詳細資訊,請參閱程序 建立 IAM 政策 (主控台) 中的步驟 4。在您建立政策後,關閉該標籤並返回您的原始標籤,以選取用於許可界限的政策。

  8. 選擇 Next: Tags (下一步:標籤)

  9. (選用) 藉由附加標籤做為索引鍵/值組,將中繼資料新增至使用者。如需有關在 IAM 中使用標籤的詳細資訊,請參閱標記 IAM 實體

  10. 選擇 Next: Review (下一步:檢閱),查看您目前為止所做的所有選擇。準備好繼續時,請選擇 Create user (建立使用者)。

  11. 若要檢視使用者的存取金鑰 (存取金鑰 ID 和私密存取金鑰),請選擇想要查看之每個密碼和存取金鑰旁的 Show (顯示)。若要儲存取金鑰,請選擇 Download .csv,然後將檔案儲存到安全的位置。

    重要

    這是您檢視或下載私密存取金鑰的唯一機會,而且您必須在您的使用者使用 AWS API 之前提供此資訊。請將使用者的新存取金鑰 ID 和私密存取金鑰存放在安全處。在此步驟之後,您就無法再存取私密金鑰了。

  12. 提供每位使用者登入資料。您可以在最終頁面選擇每位使用者旁的 Send email (傳送電子郵件)。您的本機郵件用戶端會開啟可供您自訂和傳送的草稿。電子郵件範本包含每位使用者的以下詳細資訊:

    • 使用者名稱

    • 帳戶登入頁面的 URL。使用以下範例,取代正確的帳戶 ID 號碼或帳戶別名:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    如需詳細資訊,請參閱IAM 使用者如何登入 AWS

    重要

    使用者的密碼不會包含在產生的電子郵件中。您必須遵守您組織的安全準則來提供它們給客戶。

建立 IAM 使用者 (AWS CLI)

您可以使用 AWS CLI 建立 IAM 使用者。

建立 IAM 使用者 (AWS CLI)

  1. 建立使用者。

  2. (選用) 提供使用者 AWS Management Console 存取權。這需要密碼。您還必須提供使用者您帳戶登入頁面的 URL

  3. (選用) 提供使用者程式設計存取權。這需要存取金鑰。

    • aws iam create-access-key

    • Tools for Windows PowerShell: New-IAMAccessKey

    • IAM API:CreateAccessKey

      重要

      這是您檢視或下載私密存取金鑰的唯一機會,而且您必須在您的使用者使用 AWS API 之前提供此資訊。請將使用者的新存取金鑰 ID 和私密存取金鑰存放在安全處。在此步驟之後,您就無法再存取私密金鑰了。

  4. 新增使用者到一個或多個群組。您指定的群組應具有授予適當許可給使用者的連接政策。

  5. (選用) 連接政策到定義使用者許可的使用者。注意:建議您透過將使用者新增至群組並將政策連接至群組,來管理使用者許可,而不要將政策直接連接至使用者。

  6. (選用) 藉由附加標籤將自訂屬性新增至使用者。如需詳細資訊,請參閱 在 IAM 實體管理標籤 (AWS CLI 或 AWS API)

  7. (選用) 提供使用者許可,來管理他們自己的安全登入資料。如需詳細資訊,請參閱 AWS:允許經過 MFA 身分驗證的 IAM 使用者在 My Security Credentials (我的安全登入資料) 頁面上管理其登入資料。

建立 IAM 使用者 (AWS API)

您可以使用 AWS API 建立 IAM 使用者。

從 (IAM API) 建立 AWS 使用者

  1. 建立使用者。

  2. (選用) 提供使用者 AWS Management Console 存取權。這需要密碼。您還必須提供使用者您帳戶登入頁面的 URL

  3. (選用) 提供使用者程式設計存取權。這需要存取金鑰。

    • CreateAccessKey

      重要

      這是您檢視或下載私密存取金鑰的唯一機會,而且您必須在您的使用者使用 AWS API 之前提供此資訊。請將使用者的新存取金鑰 ID 和私密存取金鑰存放在安全處。在此步驟之後,您就無法再存取私密金鑰了。

  4. 新增使用者到一個或多個群組。您指定的群組應具有授予適當許可給使用者的連接政策。

  5. (選用) 連接政策到定義使用者許可的使用者。注意:建議您透過將使用者新增至群組並將政策連接至群組,來管理使用者許可,而不要將政策直接連接至使用者。

  6. (選用) 藉由附加標籤將自訂屬性新增至使用者。如需詳細資訊,請參閱 在 IAM 實體管理標籤 (AWS CLI 或 AWS API)

  7. (選用) 提供使用者許可,來管理他們自己的安全登入資料。如需詳細資訊,請參閱 AWS:允許經過 MFA 身分驗證的 IAM 使用者在 My Security Credentials (我的安全登入資料) 頁面上管理其登入資料。