IAM 使用者如何登入 AWS - AWS Identity and Access Management

IAM 使用者如何登入 AWS

若要以 IAM 使用者的身分登入 AWS Management Console,除了您的使用者名稱和密碼之外,您還必須提供帳戶 ID 或帳戶別名。當您的管理員在主控台中建立 IAM 使用者時,他們應已將您的登入憑證傳送給您,包括您的使用者名稱,以及包含您的帳戶 ID 或帳戶別名的帳戶登入頁面 URL。

https://My_AWS_Account_ID.signin.aws.amazon.com/console/
Tip

要在網頁瀏覽器為您的帳戶登入頁面建立書籤,您應該在書籤項目手動輸入帳戶的登入 URL。請勿使用 web 瀏覽器的書籤功能,因為重新引導會模糊登入 URL。

您也可以在以下通用登入端點登入,並手動輸入您的帳戶 ID 或帳戶別名:

https://console.aws.amazon.com/

為方便起見,AWS 登入頁面使用瀏覽器 Cookie 來記住 IAM 使用者名稱和帳戶資訊。下次使用者前往 AWS Management Console 中的任何頁面時,主控台會使用 Cookie 將使用者重新引導至帳戶登入頁面。

您只能存取管理員在連接至 IAM 使用者身分的政策中指定的 AWS 資源。若要在主控台中工作,您必須擁有許可才能執行主控台執行的動作,例如列出和建立 AWS 資源。如需詳細資訊,請參閱 AWS 資源的存取管理以身分為基礎的 IAM 政策範例

注意

如果您的組織已有現有的身分系統,您可能會想建立單一登入 (SSO) 選項。SSO 可讓使用者存取您帳戶的 AWS Management Console,而不需要求他們擁有 IAM 使用者身分。SSO 也可讓使用者不必分別登入您組織的網站和 AWS。如需詳細資訊,請參閱 使自訂身分經紀人存取 AWS 主控台

在 CloudTrail 中記錄登入詳細資訊

若您啟用 CloudTrail 將登入事件記錄到您的日誌,您需要注意 CloudTrail 如何選擇記錄事件日誌的地方。

  • 如果您的使用者直接登入到主控台,則會根據所選服務主控台是否支援區域,將它們重新引導到全域登入或區域登入端點。例如,主要主控台首頁支援區域,所以您若登入以下 URL:

    https://alias.signin.aws.amazon.com/console

    您重新引導到區域登入端點,例如 https://us-east-2.signin.aws.amazon.com,從而導致在使用者的區域日誌中產生區域 CloudTrail 日誌項目:

    另一方面,Amazon S3 主控台不支援區域,所以您若登入以下 URL

    https://alias.signin.aws.amazon.com/console/s3

    AWS 會將您重新引導到 https://signin.aws.amazon.com 的全域登入端點,從而產生全域 CloudTrail 日誌項目。

  • 您可以手動請求特定區域登入端點,只要使用如下所示的 URL 語法,登入啟用區域的主要主控台首頁:

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS 會將您重新引導到 ap-southeast-1 區域登入端點,並導致區域 CloudTrail 日誌事件。

如需有關 CloudTrail 和 IAM 的詳細資訊,請參閱使用 CloudTrail 記錄 IAM 事件日誌

如果使用者需要以程式設計存取的方式使用您的帳戶,如 管理存取金鑰 (主控台) 中所述,您可以為每位使用者建立存取金鑰對 (存取金鑰 ID 和私密存取金鑰)。