使用預設的 IAM 身分中心目錄設定使用者存取

首次啟用 IAM 身分中心時，系統會自動將身分識別中心目錄設定為預設身分識別來源，因此您不需要選擇身分識別來源。如果您的組織使用其他身分識別提供者 (例如 AWS Directory Service for Microsoft Active DirectoryMicrosoft Entra ID、)，或Okta考慮將該身分識別來源與 IAM 身分中心整合，而不是使用預設組態。

目的

在本教學課程中，您將使用預設目錄做為身分識別來源，並設定和測試使用者存取。在此案例中，您可以在 IAM 身分中心管理所有使用者和群組。使用者透過 AWS 存取入口網站登入。本教學課程適用於剛使用 IAM 管理使用者和群組的使用者。 AWS 在接下來的步驟中，您將創建以下內容：

• 名為尼克沃爾夫的管理用戶

• 一個名為管理團隊的組

• 名為的權限集 AdminAccess

要驗證所有內容都是否正確創建，您將登錄並設置管理用戶的密碼。完成本教學課程後，您可以使用管理使用者在 IAM Identity Center 中新增更多使用者、建立其他權限集，以及設定組織對應用程式的存取權。

如果您尚未啟用 IAM 身分中心，請參閱啟用 AWS IAM Identity Center。

開始之前：

請執行下列任一項作業，以登入 AWS Management Console。

• 新使用者 AWS (root 使用者) — 選擇AWS 帳戶 root 使用者並輸入您的 AWS 帳戶 電子郵件地址，以帳戶擁有者身分登入。在下一頁中，輸入您的密碼。

• 已在使用 AWS (IAM 登入資料) — 使用具有管理許可的 IAM 登入資料登入。

開啟 IAM 身分中心主控台。

步驟 1：新增使用者

1. 在 IAM 身分中心導覽窗格中，選擇 [使用者]，然後選取 [新增使用者]。

2. 在 [指定使用者詳細資訊] 頁面上，完成下列資訊：

   • 使用者名稱-在此自學課程中，輸入 nikkiw。

     建立使用者時，請選擇容易記住的使用者名稱。您的使用者必須記住使用者名稱才能登入 AWS 存取入口網站，而您之後無法變更。

   • 密碼-選擇「傳送電子郵件給此使用者，並附上密碼設定指示 (建議選項)」。

     此選項會向使用者傳送一封來自 Amazon Web Services 的電子郵件，其中包含主旨行邀請加入 IAM 身分中心 ( AWS 單一登入的後續任務)。電子郵件來自no-reply@signin.aws或no-reply@login.awsapps.com。將這些電子郵件地址新增至核可的寄件人清單。

   • 電子郵件地址-輸入您可以接收電子郵件的使用者電子郵件地址。然後，再次輸入以確認它。每個使用者都必須有唯一的電子郵件地址。

   • 名字-輸入使用者的名字。對於本自學課程，請輸入 Nikki。

   • 姓氏-輸入使用者的姓氏。在此自學課程中，輸入 Wolf。

   • 顯示名稱-預設值為使用者的名字和姓氏。如果您要變更顯示名稱，可以輸入不同的名稱。顯示名稱會顯示在登入入口網站和使用者清單中。

   • 如有需要，請填寫選擇性資訊。在本教程中不使用它，您可以稍後進行更改。

3. 選擇下一步。這時系統顯示「向組添加用戶」頁面。我們要創建一個組來分配管理權限，而不是直接給他們 Nikki。

   選擇建立群組

   新的瀏覽器標籤隨即開啟，顯示 [建立群組] 頁面。

   1. 在群組詳細資料下的群組名稱中，輸入群組的名稱。我們建議使用可識別群組角色的群組名稱。在本教程中，請輸入管理團隊。

   2. 選擇建立群組

   3. 關閉「群組」瀏覽器標籤，以返回「新增使用者」瀏覽器標籤

4. 在「群組」區域中，選取「重新整理」按鈕。管理員小組群組會顯示在清單中。

   選取 [管理團隊] 旁邊的核取方塊，然後選擇 [下一步]。

5. 在 [檢閱並新增使用者] 頁面上，確認下列事項：

   • 主要資訊會依您的預期顯示

   • 「組」顯示添加到您創建的組中的用戶

   如需變更，請選擇 Edit (編輯)。當所有詳細資料都正確時，選擇 [新增使用

   通知訊息會通知您已新增使用者。

接下來，您將為管理小組群組新增管理權限，以便 Nikki 可以存取資源。

步驟 2：新增管理權限

1. 在「IAM 身分中心」導覽窗格的「多帳戶權限」下，選擇AWS 帳戶。

2. 在AWS 帳戶頁面上，組織結構會在階層中顯示您的組織，並在其下方顯示您的帳戶。選取管理帳戶的核取方塊，然後選取指派使用者或群組。

3. 指派使用者和群組工作流程隨即顯示。它由三個步驟組成：

   1. 對於步驟 1：選取使用者和群組，請選擇您建立的管理團隊群組。然後選擇下一步。

   2. 針對步驟 2：選取權限集選擇 [建立權限集] 以開啟新索引標籤，引導您完成建立權限集所涉及的三個子步驟。

      1. 對於步驟 1：選取權限集類型，請完成下列步驟：

         • 在權限集類型中，選擇預先定義的權限集。

         • 在預先定義權限集的原則中，選擇AdministratorAccess。

         選擇下一步。

      2. 針對 [步驟 2: 指定權限集詳細資料]、保留預設設定，然後選擇 [下一步]。

         預設設定會建立名為AdministratorAccess工作階段持續時間設為一小時的權限集。您可以在 [權限集名稱] 欄位中輸入新名稱，以變更權限集的名稱。

      3. 對於步驟 3：檢閱和建立，請確認「權限集」類型是否使用 AWS 受管理的原則AdministratorAccess。選擇建立。在 [權限集] 頁面上會出現通知，通知您已建立權限集。您現在可以在 Web 瀏覽器中關閉此選項卡。

      在 [指派使用者和群組] 瀏覽器索引標籤上，您仍在執行 [步驟 2: 選取啟動建立權限集工作流程的權限集]。

      在「權限集」區域中，選擇「重新整理」按鈕。您建立的AdministratorAccess權限集會顯示在清單中。選取該權限集的核取方塊，然後選擇 [下一步]。

   3. 在 [步驟 3：檢閱並提交指派] 頁面上，確認已選取管理小組群組且已選取AdministratorAccess權限集，然後選擇 [提交]。

      頁面會更新並顯示正在設 AWS 帳戶 定您的訊息。等待，直到該過程完成。

      您將返回到該 AWS 帳戶 頁面。通知訊息會通知您已重新佈建，且 AWS 帳戶 已套用更新的權限集。

恭喜您！

您已成功設定第一個使用者、群組和權限集。

在本教程的下一部分，您將通過登錄到訪問門戶與他們的管理憑據，並設置他們的密碼測試尼克的 AWS 訪問。立即登出主控台。

步驟 3：測試使用者存取許可

現在 Nikki Wolf 是組織中的使用者，他們可以登入並根據其權限集存取被授與權限的資源。要驗證用戶是否正確配置，在下一步中，您將使用 Nikki 的憑據登錄並設置其密碼。當您在步驟 1 中添加用戶 Nikki 狼時，您選擇了讓 Nikki 收到帶有密碼設置說明的電子郵件。現在是時候打開該電子郵件並執行以下操作：

1. 在電子郵件中，選取 [接受邀請] 連結以接受邀請。

   注意

   該電子郵件還包括 Nikki 的用戶名以及用於登錄組織的 AWS 訪問門戶網站 URL。記錄此信息以備 future 使用。

   您將被帶到新用戶註冊頁面，您可以在其中設置 Nikki 的密碼。

2. 設置 N ikki 的密碼後，您將導航到登錄頁面。輸入 nikkiw 並選擇下一步，然後輸入 Nikki 的密碼並選擇登錄。

3. AWS 存取入口網站隨即開啟，顯示您可以存取的組織和應用程式。

   選取組織以將其展開至清單， AWS 帳戶 然後選取帳號以顯示可用來存取帳號資源的角色。

   每個權限集都有兩種您可以使用的管理方法：角色或存取金鑰。

   • 角色，例如 AdministratorAccess-開啟 AWS Console Home。

   • 存取金鑰-提供可與 AWS CLI 或和 AWS SDK 搭配使用的認證。包括使用自動重新整理的短期登入資料或短期存取金鑰的資訊。如需詳細資訊，請參閱 取得 AWS CLI 或 AWS SDK 的 IAM 身分中心使用者登入資料。

4. 選擇要登入的「角色」連結 AWS Console Home。

您已登入並導覽至 AWS Console Home 頁面。探索主控台並確認您擁有預期的存取權。

後續步驟

現在您已經在 IAM 身分中心建立了管理使用者，您可以：

• 分配應用

• 新增其他使用者

• 將使用者指派至帳號

• 設定其他權限集

  注意

  您可以將多個權限集指派給相同的使用者。若要遵循套用最低權限權限的最佳作法，請在建立系統管理使用者之後，建立更嚴格的權限集，並將其指派給相同的使用者。如此一來，您就可以只使 AWS 帳戶 用您需要的權限來存取您的權限，而非系統管理權限。

在您的使用者接受啟用其帳戶的邀請並登入 AWS 存取入口網站後，入口網站中出現的唯一項目僅適用於指派給他們的 AWS 帳戶、角色和應用程式。

重要

強烈建議您為使用者啟用多因素驗證 (MFA)。如需更多詳細資訊，請參閱 身分識別中心使用者的多因素驗證。