管理 IAM 使用者 - AWS Identity and Access Management

管理 IAM 使用者

Amazon Web Services 提供在 AWS 帳戶中管理 IAM 使用者的多項工具。您可以列出帳戶或使用者群組中的 IAM 使用者,也可以列出使用者所屬的所有使用者群組。您可以重新命名或變更 IAM 使用者的路徑。您也可以從 AWS 帳戶中刪除 IAM 使用者。

如需有關新增、變更或移除 IAM 使用者之受管政策的詳細資訊,請參閱 變更 IAM 使用者的許可。如需管理 IAM 使用者之內嵌政策的資訊,請參閱新增和移除 IAM 身分許可編輯 IAM 政策刪除 IAM 政策。最佳實務是使用受管政策,而非內嵌政策。若要進一步了解驗證 IAM 政策的資訊,請參閱 驗證 IAM 政策

如需管理 IAM 使用者密碼的資訊,請參閱 管理 IAM 使用者密碼

檢視使用者存取

刪除使用者之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的委託人 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 使用上次存取的資訊精簡 AWS 的許可

列出 IAM 使用者

您可以列出 AWS 帳戶中或特定 IAM 群組中的 IAM 使用者,也可以列出使用者所屬的所有使用者群組。有關列出使用者所需的許可資訊,請參閱 存取 IAM 資源所需的許可

列出帳戶中所有使用者

若要列出特定使用者群組中的使用者

列出使用者所屬的所有使用者群組

重新命名 IAM 使用者

若要變更使用者的名稱或路徑,則必須使用 AWS CLI、Tools for Windows PowerShell 或 AWS API。主控台中沒有用於重新命名使用者的選項。有關重新命名使用者所需的許可資訊,請參閱 存取 IAM 資源所需的許可

當您更改使用者名稱或路徑時,會發生以下情況:

  • 連接到使用者的所有政策繼續採用新使用名稱。

  • 採用新使用者名稱的使用者保留在原來的使用者群組。

  • 該使用者的唯一 ID 保持不變。如需有關唯一 ID 的詳細資訊,請參閱 唯一識別碼

  • 任何將該使用者視為「委託人」(向該使用者授予存取權) 的資源或角色政策都會自動更新,以使用新名稱或路徑。例如,Amazon SQS 中的任何佇列類型政策或 Amazon S3 中的任何資源類型政策都會自動更新,以使用新名稱和路徑。

IAM 不會自動更新將該使用者視為資源以使用新使用者名稱或路徑的政策;您只能手動更新。例如,該使用者 Richard 連接了一個政策,而該政策讓使用者可管理其自己的安全憑證。如果管理員將 Richard 重新命名為 Rich,則管理員還需要更新該政策以將資源從:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

變更為此:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

如果管理員更改路徑,也會發生這種情況;管理員需要更新政策以反映該使用者使用新路徑。

重新命名使用者

刪除 IAM 使用者

如果貴公司有人離職,則可從您的帳戶中刪除 IAM 使用者。如果使用者只是暫時離開公司,則可停用該使用者的憑證,而不必從 AWS 帳戶中完全刪除該使用者。如此一來,可防止該使用者在離開期間存取 AWS 帳戶的資源,但以後可重新啟用該使用者。

如需有關停用憑證的詳細資訊,請參閱 管理 IAM 使用者的存取金鑰。有關刪除使用者所需的許可資訊,請參閱 存取 IAM 資源所需的許可

刪除 IAM 使用者 (主控台)

使用 AWS Management Console 刪除 IAM 使用者時,IAM 會自動刪除下列資訊:

  • 使用者

  • 任何使用者群組成員關係,即從該使用者所屬的任何 IAM 使用者群組中移除該使用者

  • 與使用者有關的任何密碼

  • 屬於使用者的存取金鑰

  • 內嵌於使用者的所有政策 (透過使用者群組許可適用於使用者的政策不受影響)

    注意

    當您刪除使用者時,IAM 會移除任何連接至使用者的受管政策,但不會刪除受管政策。

  • 任何相關的 MFA 裝置

刪除 IAM 使用者 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者),然後選取您要刪除之使用者名稱旁的核取方塊。

  3. 在頁面頂端,選擇 Delete (刪除)

  4. 確認對話方塊中,在文字輸入欄位中輸入使用者名稱以確認刪除使用者。選擇 Delete (刪除)

刪除 IAM 使用者 (AWS CLI)

與 AWS Management Console 不同,當您使用 AWS CLI 刪除使用者時,必須手動刪除連接至該使用者的項目。此程序說明步驟。

從帳戶中刪除使用者 (AWS CLI)

  1. 如果使用者有密碼,刪除該使用者的密碼。

    aws iam delete-login-profile

  2. 如果使用者有存取金鑰,則將其刪除。

    aws iam list-access-keys (列出使用者的存取金鑰) 和 aws iam delete-access-key

  3. 刪除使用者的簽署憑證。注意,當您刪除安全憑證時,將會永遠消失、無法還原。

    aws iam list-signing-certificates (列出使用者的簽署的憑證) 和 aws iam delete-signing-certificate

  4. 如果使用者有 SSH 公有金鑰,則將其刪除。

    aws iam list-ssh-public-keys (列出使用者的 SSH 公有金鑰) 和 aws iam delete-ssh-public-key

  5. 刪除使用者的 Git 憑證。

    aws iam list-service-specific-credentials (列出使用者的 Git 憑證) 和 aws iam delete-service-specific-credential

  6. 如果使用者有多重要素驗證 (MFA) 裝置,請將其停用。

    aws iam list-mfa-devices (列出使用者的 MFA 裝置)、aws iam deactivate-mfa-device (停用裝置) 和 aws iam delete-virtual-mfa-device (永久刪除虛擬 MFA 裝置)

  7. 刪除使用者的內嵌政策。

    aws iam list-user-policies (列出使用者的內嵌政策) 和 aws iam delete-user-policy (刪除政策)

  8. 分開連接到該使用者的任何受管政策。

    aws iam list-attached-user-policies (列出連接到使用者的受管政策) 和 aws iam detach-user-policy (分開政策)

  9. 將該使用者從任何使用者群組中移除。

    aws iam list-groups-for-user (列出使用者所屬的使用者群組) 和 aws iam remove-user-from-group

  10. 刪除使用者。

    aws iam delete-user