管理 IAM 使用者

注意

做為其中一項最佳實務，我們建議您要求人類使用者搭配身分提供者使用聯合功能，以便使用暫時性憑證存取 AWS。如果遵循最佳實務，則您不用管理 IAM 使用者和群組。反之，您的使用者和群組將在 AWS 外部受管，而且能夠以聯合身分存取 AWS 資源。聯合身分是來自您企業使用者目錄的使用者、Web 身分提供者、AWS Directory Service、Identity Center 目錄或透過身分來源提供的憑證來存取 AWS 的任何使用者。聯合身分使用由其身分提供者定義的群組。如果您使用的是 AWS IAM Identity Center，請參閱《AWS IAM Identity Center 使用者指南》中的管理 IAM Identity Center 中的身分，以了解有關在 IAM Identity Center 中建立使用者和群組的資訊。

Amazon Web Services 提供在 AWS 帳戶 中管理 IAM 使用者的多項工具。您可以列出帳戶或使用者群組中的 IAM 使用者，也可以列出使用者所屬的所有使用者群組。您可以重新命名或變更 IAM 使用者的路徑。如果您要改用聯合身分而非 IAM 使用者，您可以刪除 AWS 帳戶的 IAM 使用者，或停用該使用者。

如需有關新增、變更或移除 IAM 使用者之受管政策的詳細資訊，請參閱 變更 IAM 使用者的許可。如需管理 IAM 使用者之內嵌政策的資訊，請參閱新增和移除 IAM 身分許可、編輯 IAM 政策 和 刪除 IAM 政策。最佳實務的做法是，使用受管政策而不是內嵌政策。AWS 受管政策為很多常見使用案例授予許可。請記住，AWS 受管政策可能不會授予您特定使用案例的最低權限許可，因為它們可供所有 AWS 客戶使用。因此，我們建議您定義使用案例的客戶管理政策，以便進一步減少許可。如需更多詳細資訊，請參閱 AWS 受管政策。如需有關專為特定任務角色設計的 AWS 受管理政策的詳細資訊，請參閱 AWS 受管理的工作職能政策。

若要了解驗證 IAM 政策的資訊，請參閱 驗證 IAM 政策。

提示

IAM Access Analyzer 可以分析您 IAM 角色使用的服務和動作，然後產生您可以使用的精細政策。測試產生的每個政策後，您可以將政策部署到生產環境。這可確保您僅授予所需的許可給工作負載。如需政策產生的詳細資訊，請參閱 IAM Access Analyzer 政策產生。

如需管理 IAM 使用者密碼的資訊，請參閱 管理 IAM 使用者密碼。

檢視使用者存取

刪除使用者之前，您應該檢閱其最近的服務層級活動。這很重要，因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊，請參閱 使用上次存取的資訊精簡 AWS 的許可。

列出 IAM 使用者

您可以列出 AWS 帳戶 中或特定 IAM 使用者群組中的 IAM 使用者，也可以列出使用者所屬的所有使用者群組。有關列出使用者所需的許可資訊，請參閱 存取 IAM 資源所需的許可。

列出帳戶中所有使用者

• AWS Management Console：在導覽窗格中，選擇 Users (使用者)。主控台會顯示您 AWS 帳戶 中的角色。

• AWS CLI：aws iam list-users

• AWS API：ListUsers

若要列出特定使用者群組中的使用者

• AWS Management Console：在導覽窗格中，選擇 User groups (使用者群組)，選擇使用者群組名稱，然後選擇 Users (使用者) 索引標籤。

• AWS CLI：aws iam get-group

• AWS API：GetGroup

列出使用者所屬的所有使用者群組

• AWS Management Console：在導覽窗格中，選擇 Users (使用者)，選擇使用者名稱，然後選擇 Groups (群組) 標籤。

• AWS CLI：aws iam list-groups-for-user

• AWS API：ListGroupsForUser

重新命名 IAM 使用者

若要變更使用者的名稱或路徑，則必須使用 AWS CLI、Tools for Windows PowerShell 或 AWS API。主控台中沒有用於重新命名使用者的選項。有關重新命名使用者所需的許可資訊，請參閱 存取 IAM 資源所需的許可。

當您更改使用者名稱或路徑時，會發生以下情況：

• 連接到使用者的所有政策繼續採用新使用名稱。

• 採用新使用者名稱的使用者保留在原來的使用者群組。

• 該使用者的唯一 ID 保持不變。如需有關唯一 ID 的詳細資訊，請參閱 唯一識別碼。

• 任何將該使用者視為「主體」(向該使用者授予存取權) 的資源或角色政策都會自動更新，以使用新名稱或路徑。例如，Amazon SQS 中的任何佇列類型政策或 Amazon S3 中的任何資源類型政策都會自動更新，以使用新名稱和路徑。

IAM 不會自動更新將該使用者視為資源以使用新使用者名稱或路徑的政策；您只能手動更新。例如，該使用者 Richard 連接了一個政策，而該政策讓使用者可管理其自己的安全憑證。如果管理員將 Richard 重新命名為 Rich，則管理員還需要更新該政策以將資源從：

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

變更為此：

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

如果管理員更改路徑，也會發生這種情況；管理員需要更新政策以反映該使用者使用新路徑。

重新命名使用者

• AWS CLI：aws iam update-user

• AWS API：UpdateUser

刪除 IAM 使用者

如果使用者從您的公司離職，則可從您的 AWS 帳戶 中刪除 IAM 使用者。如果使用者暫時離開，您可以停用使用者的存取權，而不是依照 停用 IAM 使用者 中所述從帳戶中刪除他們。

主題

• 刪除 IAM 使用者 (主控台)
• 刪除 IAM 使用者 (AWS CLI)

刪除 IAM 使用者 (主控台)

使用 AWS Management Console 刪除 IAM 使用者時，IAM 會自動刪除下列資訊：

• 使用者

• 任何使用者群組成員關係，即從該使用者所屬的任何 IAM 使用者群組中移除該使用者

• 與使用者有關的任何密碼

• 屬於使用者的存取金鑰

• 內嵌於使用者的所有政策 (透過使用者群組許可適用於使用者的政策不受影響)

  注意

  當您刪除使用者時，IAM 會移除任何連接至使用者的受管政策，但不會刪除受管政策。

• 任何相關的 MFA 裝置

刪除 IAM 使用者 (主控台)

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

2. 在導覽窗格中，選擇 Users (使用者)，然後選取您要刪除之使用者名稱旁的核取方塊。

3. 在頁面頂端，選擇 Delete (刪除)。

4. 確認對話方塊中，在文字輸入欄位中輸入使用者名稱以確認刪除使用者。選擇 Delete (刪除)。

刪除 IAM 使用者 (AWS CLI)

與 AWS Management Console 不同，當您使用 AWS CLI 刪除使用者時，必須手動刪除連接至該使用者的項目。此程序說明步驟。

從帳戶中刪除使用者 (AWS CLI)

1. 如果使用者有密碼，刪除該使用者的密碼。

   aws iam delete-login-profile

2. 如果使用者有存取金鑰，則將其刪除。

   aws iam list-access-keys (列出使用者的存取金鑰) 和 aws iam delete-access-key

3. 刪除使用者的簽署憑證。注意，當您刪除安全憑證時，將會永遠消失、無法還原。

   aws iam list-signing-certificates (列出使用者的簽署的憑證) 和 aws iam delete-signing-certificate

4. 如果使用者有 SSH 公有金鑰，則將其刪除。

   aws iam list-ssh-public-keys (列出使用者的 SSH 公有金鑰) 和 aws iam delete-ssh-public-key

5. 刪除使用者的 Git 憑證。

   aws iam list-service-specific-credentials (列出使用者的 Git 憑證) 和 aws iam delete-service-specific-credential

6. 如果使用者有多重要素驗證 (MFA) 裝置，請將其停用。

   aws iam list-mfa-devices (列出使用者的 MFA 裝置)、aws iam deactivate-mfa-device (停用裝置) 和 aws iam delete-virtual-mfa-device (永久刪除虛擬 MFA 裝置)

7. 刪除使用者的內嵌政策。

   aws iam list-user-policies (列出使用者的內嵌政策) 和 aws iam delete-user-policy (刪除政策)

8. 分開連接到該使用者的任何受管政策。

   aws iam list-attached-user-policies (列出連接到使用者的受管政策) 和 aws iam detach-user-policy (分開政策)

9. 將該使用者從任何使用者群組中移除。

   aws iam list-groups-for-user (列出使用者所屬的使用者群組) 和 aws iam remove-user-from-group

10. 刪除使用者。

    aws iam delete-user

停用 IAM 使用者

當 IAM 使用者暫時離開公司時，您可能需要停用他們。您可以將他們的 IAM 使用者憑證保留在適當位置，但仍然封鎖他們的 AWS 存取權。

若要停用使用者，請建立並連接政策以拒絕使用者存取 AWS。您可以稍後恢復使用者的存取權限。

以下是您可以連接到使用者以拒絕其存取的兩個拒絕政策範例。

下列政策不包含時間限制。您必須移除政策才能恢復使用者的存取權。

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

下列政策包括在 2024 年 12 月 24 日晚上 11:59 (UTC) 啟動政策的條件，並於 2025 年 2 月 28 日晚上 11:59 (UTC) 結束該政策。

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}