本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用預設的 IAM 身分中心目錄設定使用者存取
首次啟用 IAM 身分中心時,系統會自動將身分識別中心目錄設定為預設身分識別來源,因此您不需要選擇身分識別來源。如果您的組織使用其他身分識別提供者 (例如 AWS Directory Service for Microsoft Active DirectoryMicrosoft Entra ID、),或Okta考慮將該身分識別來源與 IAM 身分中心整合,而不是使用預設組態。
目的
在本教學課程中,您將使用預設目錄做為身分識別來源,並設定和測試使用者存取。在此案例中,您可以在 IAM 身分中心管理所有使用者和群組。使用者透過 AWS 存取入口網站登入。本教學課程適用於剛使用 IAM 管理使用者和群組的使用者。 AWS 在接下來的步驟中,您將創建以下內容:
-
名為
尼克
沃爾夫的管理用戶 -
一個名為
管理團隊
的組 -
名為的權限集
AdminAccess
要驗證所有內容都是否正確創建,您將登錄並設置管理用戶的密碼。完成本教學課程後,您可以使用管理使用者在 IAM Identity Center 中新增更多使用者、建立其他權限集,以及設定組織對應用程式的存取權。
如果您尚未啟用 IAM 身分中心,請參閱啟用 AWS IAM Identity Center。
請執行下列任一項作業,以登入 AWS Management Console。
-
新使用者 AWS (root 使用者) — 選擇AWS 帳戶 root 使用者並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入。在下一頁中,輸入您的密碼。
-
已在使用 AWS (IAM 登入資料) — 使用具有管理許可的 IAM 登入資料登入。
開啟 IAM 身分中心主控台
-
在 IAM 身分中心導覽窗格中,選擇 [使用者],然後選取 [新增使用者]。
-
在 [指定使用者詳細資訊] 頁面上,完成下列資訊:
-
使用者名稱-在此自學課程中,輸入
nikkiw
。建立使用者時,請選擇容易記住的使用者名稱。您的使用者必須記住使用者名稱才能登入 AWS 存取入口網站,而您之後無法變更。
-
密碼-選擇「傳送電子郵件給此使用者,並附上密碼設定指示 (建議選項)」。
此選項會向使用者傳送一封來自 Amazon Web Services 的電子郵件,其中包含主旨行邀請加入 IAM 身分中心 ( AWS 單一登入的後續任務)。電子郵件來自
no-reply@signin.aws
或no-reply@login.awsapps.com
。將這些電子郵件地址新增至核可的寄件人清單。 -
電子郵件地址-輸入您可以接收電子郵件的使用者電子郵件地址。然後,再次輸入以確認它。每個使用者都必須有唯一的電子郵件地址。
-
名字-輸入使用者的名字。對於本自學課程,請輸入
Nikki
。 -
姓氏-輸入使用者的姓氏。在此自學課程中,輸入
Wolf
。 -
顯示名稱-預設值為使用者的名字和姓氏。如果您要變更顯示名稱,可以輸入不同的名稱。顯示名稱會顯示在登入入口網站和使用者清單中。
-
如有需要,請填寫選擇性資訊。在本教程中不使用它,您可以稍後進行更改。
-
-
選擇下一步。這時系統顯示「向組添加用戶」頁面。我們要創建一個組來分配管理權限,而不是直接給他們
Nikki
。選擇建立群組
新的瀏覽器標籤隨即開啟,顯示 [建立群組] 頁面。
-
在群組詳細資料下的群組名稱中,輸入群組的名稱。我們建議使用可識別群組角色的群組名稱。在本教程中,請輸入
管理團隊
。 -
選擇建立群組
-
關閉「群組」瀏覽器標籤,以返回「新增使用者」瀏覽器標籤
-
-
在「群組」區域中,選取「重新整理」按鈕。
管理員小組
群組會顯示在清單中。選取 [
管理團隊
] 旁邊的核取方塊,然後選擇 [下一步]。 -
在 [檢閱並新增使用者] 頁面上,確認下列事項:
-
主要資訊會依您的預期顯示
-
「組」顯示添加到您創建的組中的用戶
如需變更,請選擇 Edit (編輯)。當所有詳細資料都正確時,選擇 [新增使用
通知訊息會通知您已新增使用者。
-
接下來,您將為管理小組群組新增管理
權限,以便 Nikki
可以存取資源。
-
在「IAM 身分中心」導覽窗格的「多帳戶權限」下,選擇AWS 帳戶。
-
在AWS 帳戶頁面上,組織結構會在階層中顯示您的組織,並在其下方顯示您的帳戶。選取管理帳戶的核取方塊,然後選取指派使用者或群組。
-
指派使用者和群組工作流程隨即顯示。它由三個步驟組成:
-
對於步驟 1:選取使用者和群組,請選擇您建立的
管理團隊
群組。然後選擇下一步。 -
針對步驟 2:選取權限集選擇 [建立權限集] 以開啟新索引標籤,引導您完成建立權限集所涉及的三個子步驟。
-
對於步驟 1:選取權限集類型,請完成下列步驟:
-
在權限集類型中,選擇預先定義的權限集。
-
在預先定義權限集的原則中,選擇AdministratorAccess。
選擇下一步。
-
-
針對 [步驟 2: 指定權限集詳細資料]、保留預設設定,然後選擇 [下一步]。
預設設定會建立名為
AdministratorAccess
工作階段持續時間設為一小時的權限集。您可以在 [權限集名稱] 欄位中輸入新名稱,以變更權限集的名稱。 -
對於步驟 3:檢閱和建立,請確認「權限集」類型是否使用 AWS 受管理的原則AdministratorAccess。選擇建立。在 [權限集] 頁面上會出現通知,通知您已建立權限集。您現在可以在 Web 瀏覽器中關閉此選項卡。
在 [指派使用者和群組] 瀏覽器索引標籤上,您仍在執行 [步驟 2: 選取啟動建立權限集工作流程的權限集]。
在「權限集」區域中,選擇「重新整理」按鈕。您建立的
AdministratorAccess
權限集會顯示在清單中。選取該權限集的核取方塊,然後選擇 [下一步]。 -
-
在 [步驟 3:檢閱並提交指派] 頁面上,確認已選取
管理小組
群組且已選取AdministratorAccess
權限集,然後選擇 [提交]。頁面會更新並顯示正在設 AWS 帳戶 定您的訊息。等待,直到該過程完成。
您將返回到該 AWS 帳戶 頁面。通知訊息會通知您已重新佈建,且 AWS 帳戶 已套用更新的權限集。
-
恭喜您!
您已成功設定第一個使用者、群組和權限集。
在本教程的下一部分,您將通過登錄到訪問門戶與他們的管理憑據,並設置他們的密碼測試尼克
的 AWS 訪問。立即登出主控台。
現在 Nikki Wolf
是組織中的使用者,他們可以登入並根據其權限集存取被授與權限的資源。要驗證用戶是否正確配置,在下一步中,您將使用 Nikki 的
憑據登錄並設置其密碼。當您在步驟 1 中添加用戶 Nikki 狼
時,您選擇了讓 Nikki
收到帶有密碼設置說明的電子郵件。現在是時候打開該電子郵件並執行以下操作:
-
在電子郵件中,選取 [接受邀請] 連結以接受邀請。
注意
該電子郵件還包括
Nikki 的
用戶名以及用於登錄組織的 AWS 訪問門戶網站 URL。記錄此信息以備 future 使用。您將被帶到新用戶註冊頁面,您可以在其中設置
Nikki 的
密碼。 -
設置 N
ikki 的
密碼後,您將導航到登錄頁面。輸入nikkiw
並選擇下一步,然後輸入Nikki 的
密碼並選擇登錄。 -
AWS 存取入口網站隨即開啟,顯示您可以存取的組織和應用程式。
選取組織以將其展開至清單, AWS 帳戶 然後選取帳號以顯示可用來存取帳號資源的角色。
每個權限集都有兩種您可以使用的管理方法:角色或存取金鑰。
-
角色,例如
AdministratorAccess
-開啟 AWS Console Home。 -
存取金鑰-提供可與 AWS CLI 或和 AWS SDK 搭配使用的認證。包括使用自動重新整理的短期登入資料或短期存取金鑰的資訊。如需詳細資訊,請參閱 取得 AWS CLI 或 AWS SDK 的 IAM 身分中心使用者登入資料。
-
-
選擇要登入的「角色」連結 AWS Console Home。
您已登入並導覽至 AWS Console Home 頁面。探索主控台並確認您擁有預期的存取權。
現在您已經在 IAM 身分中心建立了管理使用者,您可以:
在您的使用者接受啟用其帳戶的邀請並登入 AWS 存取入口網站後,入口網站中出現的唯一項目僅適用於指派給他們的 AWS 帳戶、角色和應用程式。
重要
強烈建議您為使用者啟用多因素驗證 (MFA)。如需更多詳細資訊,請參閱 身分識別中心使用者的多因素驗證。