AWS Control Tower 中的身分和存取管理

若要在您的登陸區域執行任何操作，例如在 Account Factory 中佈建帳戶，或在 AWS Control Tower 主控台中建立新的組織單位 (OUs)，或 AWS Identity and Access Management AWS IAM Identity Center 要求您驗證您是核准的 AWS 使用者。例如，如果您使用的是 AWS Control Tower 主控台，您可以提供 AWS 您的登入資料來驗證您的身分，如管理員所提供。

驗證您的身分後，IAM AWS 會使用一組特定操作和資源的已定義許可來控制您對 的存取。如果您是帳戶管理員，您可以使用 IAM 來控制其他 IAM 使用者的存取權，以存取與您帳戶相關聯的資源。

主題

• 身分驗證

• 存取控制

• 使用 AWS IAM Identity Center 和 AWS Control Tower

• 管理 AWS Control Tower 資源存取許可概觀

• 防止跨服務模擬

• 針對 AWS Control Tower 使用身分型政策 (IAM 政策）

身分驗證

您可以存取 AWS 做為下列任一類型的身分：

• AWS 帳戶根使用者 - 當您第一次建立 AWS 帳戶時，您會從對帳戶中所有 AWS 服務和資源具有完整存取權的身分開始。此身分稱為 AWS 帳戶根使用者。當您使用建立帳戶時使用的電子郵件地址和密碼登入時，您就可以存取此身分。強烈建議您不要以根使用者處理日常作業，即使是管理作業。反之，請遵守僅使用根使用者的最佳實務，以建立您的第一個 IAM Identity Center 使用者 （建議） 或 IAM 使用者 （在大多數使用情況下不是最佳實務）。接著請妥善鎖定根使用者憑證，只用來執行少數的帳戶與服務管理任務。如需詳細資訊，請參閱以根使用者身分登入的時機。

• IAM 使用者 – IAM 使用者是您 AWS 帳戶中具有特定自訂許可的身分。您可以使用 IAM 使用者登入資料來保護 AWS 網頁，例如 AWS Management Console、 AWS Discussion Forums 或 AWS Support Center。 AWS 最佳實務建議您建立 IAM Identity Center 使用者，而不是 IAM 使用者，因為當您建立具有長期登入資料的 IAM 使用者時，會有更高的安全風險。

  如果您必須為特定目的建立 IAM 使用者，除了登入憑證之外，您還可以為每個 IAM 使用者產生存取金鑰。當您透過其中一個 SDKs 或使用 AWS 命令列界面 (CLI)，以程式設計方式呼叫 AWS 服務時，您可以使用這些金鑰。此 SDK 和 CLI 工具使用存取金鑰，以加密方式簽署您的請求。如果您不使用 AWS 工具，則必須自行簽署請求。AWS Control Tower 支援 Signature 第 4 版，這是用於驗證傳入 API 請求的通訊協定。如需驗證請求的詳細資訊，請參閱 AWS 一般參考中的簽章第 4 版簽署程序。

• IAM 角色：IAM 角色是您可以在帳戶中建立的另一種 IAM 身分，具有特定的許可。IAM 角色類似於 中的 IAM 使用者，因為它是 AWS 身分，並且具有許可政策來決定身分在 中可以和不可以執行的動作 AWS。但是，角色的目的是讓需要它的任何人可代入，而不是單獨地與某個人員關聯。此外，角色沒有與之關聯的標準長期憑證，例如密碼或存取金鑰。反之，當您擔任角色時，其會為您的角色工作階段提供臨時安全性登入資料。使用臨時登入資料的 IAM 角色在下列情況中非常有用：

  • 聯合身分使用者存取 – 您可以使用來自 AWS Directory Service企業使用者目錄或 Web 身分提供者的現有身分，而不是建立 IAM 使用者。這些稱為聯合身分使用者。當透過身分提供者請求存取時， 會將角色 AWS 指派給聯合身分使用者。如需有關聯合身分使用者的詳細資訊，請參閱 IAM 使用者指南中的聯合身分使用者和角色。

  • AWS 服務存取 – 服務角色是服務擔任的 IAM 角色，可代表您在帳戶中執行動作。當您設定某些 AWS 服務環境時，您必須定義要擔任服務的角色。此服務角色必須包含服務存取所需 AWS 資源所需的所有許可。各個服務的服務角色不同，但許多都可讓您選擇許可，只要您符合該服務所記錄的需求。服務角色提供的存取權僅限在您的帳戶內，不能用來授予存取其他帳戶中的服務。您可以從 IAM 內建立、修改和刪除服務角色。例如，您可以建立一個角色，允許 Amazon RedShift 代表您存取 Amazon S3 儲存貯體，然後將該儲存貯體中的資料載入到 Amazon RedShift 叢集。如需詳細資訊，請參閱《IAM 使用者指南》中的建立角色以委派許可給 AWS 服務。

  • 在 Amazon EC2 上執行的應用程式 – 您可以使用 IAM 角色來管理在 Amazon EC2 執行個體上執行之應用程式的臨時登入資料，以及提出 AWS CLI 或 AWS API 請求。最好將存取金鑰存放在 Amazon EC2 執行個體中。若要將 AWS 角色指派給 Amazon EC2 執行個體，並將其提供給其所有應用程式，您可以建立連接至執行個體的執行個體描述檔。執行個體設定檔包含該角色，並且可讓 Amazon EC2 執行個體上執行的程式取得臨時憑證。如需詳細資訊，請參閱《IAM 使用者指南》中的使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可。

• IAM Identity Center 使用者對 IAM Identity Center 使用者入口網站的身分驗證是由您已連線至 IAM Identity Center 的目錄所控制。不過，使用者入口網站內可供最終使用者存取 AWS 的帳戶授權取決於兩個因素：

  • 在 IAM Identity Center 主控台中 AWS ，誰已被指派存取這些 AWS 帳戶。如需詳細資訊，請參閱AWS IAM Identity Center 《 使用者指南》中的單一登入存取。

  • AWS IAM Identity Center 主控台中已授予最終使用者何種層級的許可，以允許他們適當存取這些 AWS 帳戶。如需詳細資訊，請參閱AWS IAM Identity Center 《 使用者指南》中的許可集。

存取控制

若要在登陸區域中建立、更新、刪除或列出 AWS Control Tower 資源或其他 AWS 資源，您需要許可才能執行操作，而且需要許可才能存取對應的資源。此外，若要以程式設計方式執行操作，您需要有效的存取金鑰。

下列各節說明如何管理 AWS Control Tower 的許可：

主題

• 管理 AWS Control Tower 資源存取許可概觀

• 針對 AWS Control Tower 使用身分型政策 (IAM 政策）