AWS Control Tower 中的身分和存取管理

若要在您的 landing zone 執行任何操作，例如在 Account Factory 中佈建帳戶，或在 AWS Control Twer 主控台 (IAM) 中建立新的組織單位 AWS Identity and Access Management (OU)，或 AWS IAM Identity Center 要求您驗證您是核准的 AWS 使用者。例如，如果您使用 AWS Control Tower 主控台，您可以按照管理員提供的 AWS 登入資料來驗證身分。

驗證身分後，IAM 會在特定作業和資源上使 AWS 用一組已定義的許可來控制您的存取。如果您是帳戶管理員，則可以使用 IAM 控制其他 IAM 使用者對與您帳戶相關聯之資源的存取。

主題

• 身分驗證
• 存取控制
• 使用 AWS IAM 身分中心和 AWS Control Tower
• 管理 AWS Control Tower 資源存取許可的概觀
• 防止跨服務模擬
• 針對 AWS Control Tower 使用身分型政策 (IAM 政策)

身分驗證

您可以存取 AWS 下列任何類型的身分識別：

• AWS 帳號 root 使用者 — 當您第一次建立 AWS 帳號時，您會以一個可完整存取帳號中所有 AWS 服務和資源的身分開始。此身份稱為 AWS 帳號根使用者。當您使用建立帳戶時使用的電子郵件地址和密碼登入時，您就可以存取此身分。強烈建議您不要以根使用者處理日常作業，即使是管理作業。相反地，請遵循最佳做法，即僅使用 root 使用者來建立您的第一個 IAM 身分中心使用者 (建議使用) 或 IAM 使用者 (在大多數使用案例中不是最佳做法)。接著請妥善鎖定根使用者憑證，只用來執行少數的帳戶與服務管理任務。如需詳細資訊，請參閱 何時以 root 使用者身分登入。

• IAM 使用者 — IAM 使用者是您 AWS 帳戶中具有特定自訂許可的身分。您可以使用 IAM 使用者登入資料登入以保護 AWS 網頁，例如 AWS 管理主控台、 AWS 論壇或 Sup AWS port 中心。 AWS 最佳實務建議您建立 IAM 身分中心使用者而非 IAM 使用者，因為當您建立具有長期登入資料的 IAM 使用者時，會存在較大的安全風險。

  如果您必須為特定目的建立 IAM 使用者，除了登入認證外，您還可以為每個 IAM 使用者產生存取金鑰。當您透過數個 SDK 之一或使用 AWS 命令列介面 (CLI) 以程式設計方式呼叫 AWS 服務時，您可以使用這些金鑰。此 SDK 和 CLI 工具使用存取金鑰，以加密方式簽署您的請求。如果您不使用 AWS 工具，則必須自行簽署要求。AWS Control Tower 支援簽章版本 4，這是一種驗證傳入 API 請求的協定。如需驗證要求的詳細資訊，請參閱 AWS 一般參考中的簽章版本 4 簽署程序。

• IAM 角色：IAM 角色是您可以在帳戶中建立的另一種 IAM 身分，具有特定的許可。IAM 角色與 IAM 使用者類似，因為它是一個 AWS 身分，而且具有許可政策，可決定身分可以執行和不能在其中執行的操作 AWS。但是，角色的目的是讓需要它的任何人可代入，而不是單獨地與某個人員關聯。此外，角色沒有與之關聯的標準長期憑證，例如密碼或存取金鑰。反之，當您擔任角色時，其會為您的角色工作階段提供臨時安全性登入資料。使用臨時登入資料的 IAM 角色在下列情況中非常有用：

  • 聯合使用者存取 — 您可以使用企業使用者目錄或 Web 身分提供者的現有身分，而不是建立 IAM 使用者。 AWS Directory Service這些稱為聯合使用者。 AWS 透過身分識別提供者要求存取時，會將角色指派給聯合身分使用者。如需有關聯合身分使用者的詳細資訊，請參閱 IAM 使用者指南中的聯合身分使用者和角色。

  • AWS 服務存取 — 服務角色是一種 IAM 角色，服務會代表您在帳戶中執行動作。當您設定某些 AWS 服務環境時，您必須定義要擔任的服務角色。此服務角色必須包含服務存取所需 AWS 資源所需的所有權限。各個服務的服務角色不同，但許多都可讓您選擇許可，只要您符合該服務所記錄的需求。服務角色提供的存取權僅限在您的帳戶內，不能用來授予存取其他帳戶中的服務。您可以從 IAM 內建立、修改和刪除服務角色。例如，您可以建立一個角色，允許 Amazon RedShift 代表您存取 Amazon S3 儲存貯體，然後將該儲存貯體中的資料載入到 Amazon RedShift 叢集。如需詳細資訊，請參閱 IAM 使用者指南中的建立角色以將權限委派給 AWS 服務。

  • 在 Amazon EC2 上執行的應用程式 — 您可以使用 IAM 角色管理在 Amazon EC2 執行個體上執行的應用程式的臨時登入資料，以及提出 AWS CLI 或 AWS API 請求。這比在 Amazon EC2 執行個體中存放存取金鑰更可取。若要將 AWS 角色指派給 Amazon EC2 執行個體並讓其所有應用程式都可以使用，請建立連接至執行個體的執行個體設定檔。執行個體設定檔包含該角色，並且可讓 Amazon EC2 執行個體上執行的程式取得臨時憑證。如需詳細資訊，請參閱《IAM 使用者指南》中的使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可。

• IAM 身分中心使用者入口網站的 IAM 身分識別中心使用者身分驗證是由您連線到 IAM 身分中心的目錄所控制。不過，終端使用者可從使用者入口網站中使用的 AWS 帳戶授權是由兩個因素決定：

  • 誰已在 AWS IAM 身分中心主控台中被指派存取這些 AWS 帳戶。如需詳細資訊，請參閱AWS IAM Identity Center 使用指南中的單一登入存取。

  • AWS IAM Identity Center 主控台中已授予最終使用者的權限層級，以允許使用者適當存取這些 AWS 帳戶。如需詳細資訊，請參閱《AWS IAM Identity Center 使用指南》中的〈權限集〉。

存取控制

若要在您的 landing zone 建立、更新、刪除或列出 AWS Control Tower AWS 資源或其他資源，您需要許可才能執行操作，而且您需要存取對應資源的許可。此外，若要以程式設計方式執行操作，您需要有效的存取金鑰。

以下各節說明如何管理 AWS Control Tower 的許可：

主題

• 管理 AWS Control Tower 資源存取許可的概觀

• 針對 AWS Control Tower 使用身分型政策 (IAM 政策)