AWS 身分管理概觀:使用者 - AWS Identity and Access Management

AWS 身分管理概觀:使用者

對於更佳的安全性和組織,您可以提供特定使用者 AWS 帳戶 (透過自訂許可建立的身分) 的存取權。您可以將現有身分聯合到 AWS,進一步簡化這些使用者的存取權。

僅限第一次存取:您的根使用者憑證

當您建立 AWS 帳戶時,可以建立一個用於登入 AWS 的 AWS 帳戶 根使用者身分。您可以使用此根使用者身分登入 AWS Management Console,也就是您在建立帳戶時所提供的電子郵件地址和密碼。電子郵件地址和密碼的組合也稱為根使用者憑證

當您使用根使用者憑證時,可以完全且不受限制地存取 AWS 帳戶中的所有資源,包括存取您的帳單資訊以及能夠變更密碼。當您第一次設定帳戶時,此存取層級是必要的。但是,建議您不要使用根使用者憑證進行日常存取。我們特別是建議您不與任何人共用根使用者憑證,因為如此他們可取得您帳戶無限制的存取權。僅有組織中的服務控制政策 (SCP) 可以限制授與根使用者的許可。

下列各節說明如何使用 IAM 建立和管理使用者身分和許可,以提供對您 AWS 資源的安全受限存取,包括為您自己和其他需要使用 AWS 資源的人。

IAM 使用者

AWS Identity and Access Management (IAM) 的「身分」部分可協助您確認「誰是使用者?」問題,其通常稱為身分驗證。不需與他人共用您的根使用者憑證,可以在您帳戶內對照組織中的使用者來建立個別的 IAM 使用者。IAM 使用者不是分開帳戶,他們是您帳戶內的使用者。每個使用者都擁有自己的密碼來存取 AWS Management Console。您也可以為每個使用者建立個別的存取金鑰,讓使用者能利用程式設計方式提出請求,進而能使用您帳戶中的資源。在下圖中,使用者 Li、Mateo、DevApp1、DevApp2、TestApp1 和 TestApp2 已新增到單一 AWS 帳戶。每個使用者都有自己的憑證。


        AWS 帳戶具有個別的 IAM 使用者,而每位使用者都有憑證。

請注意,某些使用者實際上是應用程式 (例如,DevApp1)。IAM 使用者不一定代表實際的人;您可以建立 IAM 使用者來針對在公司網路內執行且需要 AWS 存取權的應用程式,產生存取金鑰。

我們建議您為自己建立 IAM 使用者,然後自行指派管理許可給您的帳戶。然後,您可以用該使用者身分登入,視需要新增更多使用者。

聯合現有的使用者

如果組織中的使用者已有進行身分驗證的方式,例如登入到公司網路,您不需要建立個別的 IAM 使用者。反之,您可以將這些使用者身分聯合到 AWS。

以下圖表顯示使用者如何使用 IAM 取得暫時 AWS 安全憑證來存取 AWS 帳戶中的資源。


        已在其他位置驗證身分的使用者,可聯合到 AWS,完全不需要 IAM 使用者。

在下列情況下,聯合特別有用:

  • 您的使用者在公司目錄中已經有身分。

    如果您的公司目錄與安全性聲明標記語言 2.0 (SAML 2.0) 相容,您可以為您的使用者將公司目錄設定為提供 AWS Management Console 的單一登入 (SSO) 存取權。如需更多詳細資訊,請參閱 暫時性憑證的常見案例

    如果您的公司目錄與 SAML 2.0 不相容,您可以建立一個身分經紀人應用程式,為您的使用者提供 AWS Management Console 的單一登入 (SSO) 存取權。如需更多詳細資訊,請參閱 使自訂身分經紀人存取 AWS 主控台

    如果您的公司目錄是 Microsoft Active Directory,您可以使用 AWS Directory Service 建立您的公司目錄與 AWS 帳戶之間的信任。

  • 您的使用者已經有網際網路身分。

    如果您正在建立行動應用程式或 Web 為基礎的應用程式,讓使用者透過網際網路身分供應商 (例如,Login with Amazon、Facebook、Google 或任何與 OpenID Connect (OIDC) 相容的身分供應商) 識別自己的身分,則該應用程式可以使用聯合功能存取 AWS。如需更多詳細資訊,請參閱 關於 Web 聯合身分

    Tip

    若要搭配網際網路身分供應商使用聯合身分,建議您使用 Amazon Cognito