IAM 管理方法 - AWS Identity and Access Management
AWS 控制台AWS 命令列介面 (CLI) 和軟體開發套件 (SDK)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM 管理方法

您可以使用 AWS 主控台、 AWS 指令列介面或透過相關 SDK 中的應用程式介面 (API) 來管理 IAM。在設定時,請考慮您想要支援哪些方法以及您計劃如何支援不同的使用者。

AWS 控制台

AWS 管理主控台是一種 Web 應用程式,其中包含並參照用於管理 AWS 資源的廣泛服務主控台集合。若是首次登入,這時主控台頁面將會顯示。首頁可讓您存取每個服務主控台,並提供單一位置來存取執行 AWS 相關工作的資訊。登入主控台後,您可以使用哪些服務和應用程式,取決於您有權存取的 AWS 資源。您可以透過擔任某個角色、加入已取得許可的群組或明確取得相關許可,從而獲得對資源的許可。對於獨立 AWS 帳戶,根使用者或 IAM 管理員會設定資源的存取權限。對於 AWS Organizations,管理帳戶或委派的系統管理員可設定資源的存取權。

如果您打算讓人員使用 AWS 管理主控台來管理 AWS 資源,建議您使用臨時登入資料來設定使用者,做為安全性最佳作法。已擔任角色的 IAM 使用者、聯合身分使用者和 IAM Identity Center 中的使用者有臨時憑證,而 IAM 使用者和根使用者有長期憑證。根使用者憑證提供對 AWS 帳戶的完整存取權,但其他使用者所擁有的憑證讓他們可以存取由 IAM 政策授予的資源。

登入體驗會因不同類型的 AWS Management Console 使用者而有所不同。

  • IAM 使用者和根使用者從主要 AWS 登入網址 (https://signin.aws.amazon.com) 登入。一旦登入,他們便可存取已取得許可的帳戶中的資源。

    若要以根使用者身分登入,您必須有根使用者電子郵件地址和密碼。

    若要以 IAM 使用者身分登入,您必須具有 AWS 帳戶 編號或別名、IAM 使用者名稱和 IAM 使用者密碼。

    我們建議您將帳戶中的 IAM 使用者限定於需要長期憑證的特定情形,例如緊急存取,而且您只會在需要根使用者憑證的任務中使用根使用者。

    為了方便起見, AWS 登入頁面會使用瀏覽器 Cookie 來記住 IAM 使用者名稱和帳戶資訊。下次使用者前往中的任何頁面時 AWS Management Console,主控台會使用 Cookie 將使用者重新導向至帳戶登入頁面。

    完成您的工作階段後,請登出主控台以防止重複使用您先前的登入。

  • IAM 身分中心使用者使用其組織專屬的特定 AWS 存取入口網站登入。登入後,他們可以選擇要存取的帳戶或應用程式。如果選擇存取某個帳戶,他們會選擇想要在管理工作階段中使用哪個許可集。

  • 外部身分提供者管理的聯合身分使用者會連結至使用自訂企業存取入口網站的 AWS 帳戶 登入。聯合身分使用者可用的 AWS 資源取決於其組織選取的策略。

注意

為了提供額外的安全性,IAM 身分中心的根使用者、IAM 使用者和使用者在授予資源存取權 AWS 之前,可以先通過驗證多重要 AWS 素身份驗證 (MFA)。當啟用 MFA 時,您還必須能夠存取要登入的 MFA 裝置。

若要深入瞭解不同使用者如何登入管理主控台,請參閱登入使用者指南中的AWS 登入 AWS 管理主控台

AWS 命令列介面 (CLI) 和軟體開發套件 (SDK)

當 IAM Identity Center 和 IAM 使用者透過相關 SDK 中的 CLI 或應用程式介面 (API) 驗證身分時,他們會使用不同方法來驗證其憑證。

認證和組態設定位於多個位置,例如系統或使用者環境變數、本機 AWS 組態檔案,或在命令列上明確宣告為參數。某些位置的優先順序高於其他位置。

IAM Identity Center 和 IAM 均提供可與 CLI 或 SDK 搭配使用的存取金鑰。IAM Identity Center 存取金鑰是可自動整理的臨時憑證,並且優於與 IAM 使用者相關聯的長期存取金鑰。

要 AWS 帳戶 使用 CLI 或 SDK 管理您可以 AWS CloudShell 從瀏覽器中使用。如果您使 CloudShell 用執行 CLI 或 SDK 命令,您必須先登入主控台。存取資 AWS 源的權限取決於您用來登入主控台的認證。根據您的經驗,您可能會發現 CLI 是管理 AWS 帳戶的更有效率的方法。

對於應用程式開發,您可以將 CLI 或 SDK 下載到您的電腦,然後從命令提示或 Docker 視窗進行登入。在這種情況下,您要將身分驗證和存取憑證設定為 CLI 指令碼或 SDK 應用程式的一部分。您可以採用不同的方式設定對資源的程式設計存取,具體取決於適用於您的環境和存取權。

  • 建議使用 AWS 服務驗證本機程式碼的選項是 IAM 身分中心和 IAM 角色隨處

  • 驗證在 AWS 環境中執行的程式碼的建議選項是使用 IAM 角色或使用 IAM 身分中心登入資料。

如果您使用 IAM Identity Center,可在 AWS 存取入口網站的開始頁面取得短期憑證,並在該頁面上選擇您的許可集。這些憑證具有定義的持續時間,不會自動重新整理。如果您想要使用這些認證,請在登 AWS 入入口網站後選擇, AWS 帳戶 然後選擇權限集。選取命令列或程式設計存取,以檢視可用來以程式設計方式或從 CLI 存取 AWS 資源的選項。如需有關這些方法的詳細資訊,請參閱《IAM Identity Center 使用者指南》中的取得與重新整理臨時憑證。這些憑證經常在應用程式開發期間使用,以便快速測試程式碼。

我們建議您使用 IAM 身分中心登入資料,以便在自動存取 AWS 資源時自動重新整理。如果您已在 IAM Identity Center 中設定使用者和許可集,您可以使用 aws configure sso 命令以便利用命令列精靈來協助您識別可用的憑證,並且將它們存放在設定檔中。如需有關設定您的設定檔的更多資訊,請參閱《AWS 命令列介面使用者指南 (適用於版本 2)》中的使用 aws configure sso 精靈設定您的設定檔

注意

許多範例應用程式使用與 IAM 使用者或根使用者相關聯的長期存取金鑰。您應該只在沙盒環境中使用長期憑證,這是您學習練習的一部分。檢閱長期存取金鑰的替代方案並制定轉換程式碼計畫,使其儘快使用替代憑證,例如 IAM Identity Center 憑證或 IAM 角色。在轉換程式碼後,請刪除存取金鑰。

若要進一步了解有關設定 CLI 的資訊,請參閱《AWS 命令列介面使用者指南》第 2 版的《安裝或更新最新版的 AWS CLI》和《AWS 命令列介面使用者指南》中的驗證和存取認

若要詳細了解如何設定軟體開發套件,請參閱《AWS SDK 和工具參考指南》中的 IAM Identity Center 身分驗證和《AWS 軟體開發套件和工具參考指南》中的 IAM Roles Anywhere