使IAM用者登入的方式 AWS - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使IAM用者登入的方式 AWS

若要以使用者 AWS Management Console 身分登入,除了IAM使用者名稱和密碼之外,您還必須提供您的帳戶 ID 或帳戶別名。當您的管理員在主控台中建立您的IAM使用者時,他們應該已URL將您的登入認證 (包括您的使用者名稱) 以及包含您帳戶 ID 或帳戶別名的帳戶登入頁面傳送給您。

https://My_AWS_Account_ID.signin.aws.amazon.com/console/
秘訣

要在 Web 瀏覽器中為您的帳戶登錄頁面創建書籤,您應該在書籤條目中手動鍵入您的帳戶的登錄URL名。請勿使用您的網頁瀏覽器書籤功能,因為重新導向可能會遮蔽登入URL。

您也可以在以下通用登入端點登入,並手動輸入您的帳戶 ID 或帳戶別名:

https://console.aws.amazon.com/

為了方便起見, AWS 登錄頁面使用瀏覽器 cookie 來記住用IAM戶名和帳戶信息。下次使用者前往中的任何頁面時 AWS Management Console,主控台會使用 Cookie 將使用者重新導向至帳戶登入頁面。

您只能存取系統管理員在附加至您的IAM使用者身分的策略中指定的 AWS 資源。若要在主控台中工作,您必須擁有執行主控台執行之動作的權限,例如列出和建立 AWS 資源。如需詳細資訊,請參閱 AWS 資源存取管理以身分為基礎的 IAM 政策範例

注意

如果您的組織有現有的身分識別系統,您可能會想要建立單一登入 (SSO) 選項。SSO可讓使用者存取您帳戶 AWS Management Console 的權限,而不需要他們擁有IAM使用者身分。SSO也不需要使用者登入您組織的網站,以及 AWS 分別登入。如需詳細資訊,請參閱啟用自訂身分識別代理存取主 AWS 控台

登錄登錄詳細信息 CloudTrail

如果您啟 CloudTrail 用將登入事件記錄到記錄檔,您必須瞭解如何 CloudTrail選擇記錄事件的位置。

  • 如果您的使用者直接登入到主控台,則會根據所選服務主控台是否支援區域,將它們重新引導到全域登入或區域登入端點。例如,主畫面首頁支援區域,因此如果您登入下列項目URL:

    https://alias.signin.aws.amazon.com/console

    系統會將您重新導向至區域登入端點https://us-east-2.signin.aws.amazon.com,例如,在使用者區域的 CloudTrail 記錄檔中產生地區記錄項目:

    另一方面,Amazon S3 主控台不支援區域,因此如果您登入以下內容 URL

    https://alias.signin.aws.amazon.com/console/s3

    AWS 將您重定向到全局登錄端點https://signin.aws.amazon.com,從而導致全局 CloudTrail 日誌條目。

  • 您可以使用下列URL語法登入啟用區域的主控台首頁,手動要求特定地區登入端點:

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS 將您重新導向至ap-southeast-1地區登入端點,並導致地區 CloudTrail 記錄事件。

如需 CloudTrail 和的詳細資訊IAM,請參IAM閱使用 CloudTrail.

如果使用者需要以程式設計存取的方式使用您的帳戶,則您可以為每位使用者建立存取金鑰對 (存取金鑰 ID 和私密存取金鑰)。但在為使用者建立存取金鑰之前,您可以考慮其他更安全的替代方案。如需詳細資訊,請參閱 AWS 一般參考 中的長期存取金鑰的考量事項和替代方案