IAM 使用者如何登入 AWS - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM 使用者如何登入 AWS

若要以 IAM 使用者 AWS Management Console 身分登入,除了使用者名稱和密碼之外,您還必須提供帳戶 ID 或帳戶別名。當您的管理員在主控台中建立 IAM 使用者時,他們應已將您的登入憑證傳送給您,包括您的使用者名稱,以及包含您的帳戶 ID 或帳戶別名的帳戶登入頁面 URL。

https://My_AWS_Account_ID.signin.aws.amazon.com/console/
秘訣

要在網頁瀏覽器為您的帳戶登入頁面建立書籤,您應該在書籤項目手動輸入帳戶的登入 URL。請勿使用 web 瀏覽器的書籤功能,因為重新引導會模糊登入 URL。

您也可以在以下通用登入端點登入,並手動輸入您的帳戶 ID 或帳戶別名:

https://console.aws.amazon.com/

為了方便起見, AWS 登入頁面會使用瀏覽器 Cookie 來記住 IAM 使用者名稱和帳戶資訊。下次使用者前往中的任何頁面時 AWS Management Console,主控台會使用 Cookie 將使用者重新導向至帳戶登入頁面。

您只能存取管理員在附加至 IAM 使用者身分的政策中指定的 AWS 資源。若要在主控台中工作,您必須擁有執行主控台執行之動作的權限,例如列出和建立 AWS 資源。如需詳細資訊,請參閱 AWS 資源存取管理以身分為基礎的 IAM 政策範例

注意

如果您的組織已有現有的身分系統,您可能會想建立單一登入 (SSO) 選項。SSO 可讓使用者存取您 AWS Management Console 的帳戶,而不需要他們擁有 IAM 使用者身分。SSO 也不需要使用者登入您組織的網站和 AWS 分開登入。如需詳細資訊,請參閱 啟用自訂身分識別代理存取主 AWS 控台

登錄登錄詳細信息 CloudTrail

如果您啟 CloudTrail 用將登入事件記錄到記錄檔,您必須瞭解如何 CloudTrail選擇記錄事件的位置。

  • 如果您的使用者直接登入到主控台,則會根據所選服務主控台是否支援區域,將它們重新引導到全域登入或區域登入端點。例如,主要主控台首頁支援區域,所以您若登入以下 URL:

    https://alias.signin.aws.amazon.com/console

    系統會將您重新導向至區域登入端點https://us-east-2.signin.aws.amazon.com,例如,在使用者區域的 CloudTrail 記錄檔中產生地區記錄項目:

    另一方面,Amazon S3 主控台不支援區域,所以您若登入以下 URL

    https://alias.signin.aws.amazon.com/console/s3

    AWS 將您重定向到全局登錄端點https://signin.aws.amazon.com,從而導致全局 CloudTrail 日誌條目。

  • 您可以手動請求特定區域登入端點,只要使用如下所示的 URL 語法,登入啟用區域的主要主控台首頁:

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS 將您重新導向至ap-southeast-1地區登入端點,並導致地區 CloudTrail 記錄事件。

如需 CloudTrail 和 IAM 的詳細資訊,請參閱使用 CloudTrail.

如果使用者需要以程式設計存取的方式使用您的帳戶,則您可以為每位使用者建立存取金鑰對 (存取金鑰 ID 和私密存取金鑰)。但在為使用者建立存取金鑰之前,您可以考慮其他更安全的替代方案。如需詳細資訊,請參閱 AWS 一般參考 中的長期存取金鑰的考量事項和替代方案