單一登入存取權 AWS 帳戶 - AWS IAM Identity Center
指派使用者存取權給 AWS 帳戶移除使用者和群組存取撤銷作用中的權限集工作階段委派誰可以將單一登入存取權指派給管理帳戶中的使用者和群組

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

單一登入存取權 AWS 帳戶

您可以 AWS Organizations 根據一般工作職能,將連線目錄中的使用者指派給組織中的管理帳戶或成員帳戶的權限。或者,您也可依照具體的安全需求,使用合適的自訂許可。例如,您可以授與資料庫管理員廣泛的權限給開發帳戶中的 Amazon RDS,但限制他們在生產帳戶中的許可。IAM 身分中心會自動設定所有必要的使用者許可。 AWS 帳戶

注意

您可能需要授與使用者或群組在 AWS Organizations 管理帳戶中操作的權限。由於這是一個高度權限的帳戶,因此額外的安全限制要求您必須擁有 IAM FullAccess 政策或同等許可,然後才能進行設定。 AWS 組織中的任何成員帳戶都不需要這些額外的安全性限制。

指派使用者存取權給 AWS 帳戶

使用下列程序將單一登入存取權指派給連線目錄中的使用者和群組,並使用權限集來決定其存取層級。

若要檢查現有的使用者和群組存取權,請參閱檢視使用者和群組指派

注意

為了簡化存取許可的管理,我們建議您直接對群組 (而非個別使用者) 指派存取。透過群組,您可以對使用者群組授予或拒絕許可,而不需要為每個使用者套用這些許可。如果使用者移到不同的組織,則只要將該使用者移到不同的群組,即可自動接收新組織所需的許可。

若要將使用者或群組存取權指派給 AWS 帳戶

  1. 開啟 IAM 身分中心主控台

    注意

    在進行下一個步驟之前,請確定 IAM 身分中心主控台使用 AWS Managed Microsoft AD 目錄所在的區域。

  2. 在功能窗格中的 [多帳戶權限] 下,選擇 AWS 帳戶[。

  3. 在此AWS 帳戶頁面上,會出現組織的樹狀檢視清單。選取要指派單一登入存取權 AWS 帳戶 的一或多個旁邊的核取方塊。

    注意

    將單一登入存取權指派給使用者和群組時,每個權限集最多可以選取 10 AWS 帳戶 個。若要將 10 個以上的使 AWS 帳戶 用者和群組指派給同一組使用者和群組,請視需要對其他帳戶重複此程序。出現提示時,請選取相同的使用者、群組和權限集。

  4. 選擇 [指派使用者或群組]。

  5. 對於步驟 1:選取使用者和群組,在將使用者和群組指派給 "AWS-account-name" 頁面上,執行下列操作:

    1. 在 [使用者] 索引標籤上,選取要授與單一登入存取權的一或多個使用者。

      若要篩選結果,請開始在搜尋方塊中輸入您想要的使用者名稱。

    2. 在 [群組] 索引標籤上,選取要授與單一登入存取權的一或多個群組。

      若要篩選結果,請開始在搜尋方塊中輸入您要的群組名稱。

    3. 若要顯示您選取的使用者和群組,請選擇 [選取的使用者和群組] 旁邊的橫向三角形。

    4. 確認選取正確的使用者和群組之後,請選擇 [下一步]。

  6. 對於步驟 2: 選取權限集,在 [將權限集指派給 "AWS-account-name" 頁面上,執行下列動作:

    1. 選取一或多個權限集。如有必要,您可以建立並選取新的權限集。

      • 若要選取一或多個現有權限集,請在 [權限集] 下,選取您要套用至您在上一個步驟中選取之使用者和群組的權限集。

      • 若要建立一或多個新權限集,請選擇 [建立權限集],然後遵循中的步驟建立許可集合。建立要套用的權限集後,請在 IAM Identity Center 主控台中返回AWS 帳戶並遵循指示進行操作,直到到達「步驟 2:選取權限集」為止。當您執行此步驟時,請選取您建立的新權限集,然後繼續執行此程序的下一個步驟。

    2. 確認選取正確的權限集之後,請選擇 [下一步]。

  7. 對於步驟 3:複查並提交,請在「複查並提交指定至」AWS-帳戶名稱」頁面上,執行下列動作:

    1. 檢閱選取的使用者、群組和權限集。

    2. 確認已選取正確的使用者、群組和權限集之後,請選擇 [提交]。

      重要

      使用者和群組指派程序可能需要幾分鐘的時間才能完成。保持此頁面開啟,直到程序順利完成為止。

      注意

      您可能需要授與使用者或群組在 AWS Organizations 管理帳戶中操作的權限。由於這是一個高度權限的帳戶,因此額外的安全限制要求您必須擁有 IAM FullAccess 政策或同等許可,然後才能進行設定。 AWS 組織中的任何成員帳戶都不需要這些額外的安全性限制。

移除使用者和群組存取

使用此程序可移除連線目錄中一或多個使 AWS 帳戶 用者和群組的單一登入存取權。

若要移除使用者和群組存取 AWS 帳戶

  1. 開啟 IAM 身分中心主控台

  2. 在功能窗格中的 [多帳戶權限] 下,選擇 AWS 帳戶[。

  3. 在此AWS 帳戶頁面上,會出現組織的樹狀檢視清單。選取包含您要移除其單一登入存取權之使用者和群組的名稱。 AWS 帳戶

  4. 在的 [概觀] 頁面上 AWS 帳戶,在 [已指派的使用者和群組] 下,選取一或多個使用者或群組的名稱,然後選擇 [移除存取權]。

  5. 在 [移除存取權] 對話方塊中,確認使用者或群組的名稱正確無誤,然後選擇 [移除存取權]。

撤銷由權限集建立的作用中 IAM 角色工作階段

以下是撤銷 IAM 身分中心使用者的作用中權限集工作階段的一般程序。此程序假設您想要移除已洩露認證的使用者或系統中不良參與者的所有存取權。先決條件是遵循中的指導準備撤銷由權限集建立的作用中 IAM 角色工作階段。我們假設拒絕所有原則存在於服務控制原則 (SCP) 中。

注意

AWS 建議您構建自動化以處理除僅限控制台操作之外的所有步驟。

  1. 取得您必須撤銷其存取權之人員的使用者 ID。您可以使用識別身分存放區 API,依使用者的使用者名稱尋找使用者。

  2. 更新「拒絕」原則,以從服務控制原則 (SCP) 中的步驟 1 新增使用者識別碼。完成此步驟後,目標使用者將失去存取權,而且無法對策略影響的任何角色採取動作。

  3. 移除使用者的所有權限集指派。如果存取權是透過群組成員資格指派,請從所有群組和所有直接權限集指派中移除使用者。此步驟可防止使用者擔任任何其他 IAM 角色。如果使用者擁有使用中 AWS 存取入口網站工作階段,而您停用該使用者,則他們可以繼續擔任新角色,直到您移除其存取權為止。

  4. 如果您使用身分識別提供者 (IdP) 或 Microsoft Active Directory 做為身分識別來源,請停用身分識別來源中的使用者。停用使用者可防止建立額外的 AWS 存取入口網站工作階段。使用您的 IdP 或 Microsoft 活動目錄 API 文檔來了解如何自動化此步驟。如果您使用 IAM 身分中心目錄做為身分識別來源,請勿停用使用者存取權。您將在步驟 6 中停用使用者存取權。

  5. 在 IAM 身分中心主控台中,尋找使用者並刪除其使用中的工作階段。

    1. 選擇 Users (使用者)。

    2. 選擇您要刪除其作用中階段作業的使用者。

    3. 在使用者的詳細資料頁面上,選擇作用中工作階段索引標籤。

    4. 選取您要刪除的工作階段旁邊的核取方塊,然後選擇刪除工作階段

    如此可確保使用者的 AWS 存取入口網站工作階段在大約 60 分鐘內停止。瞭解工作階段持續時間

  6. 在 IAM 身分中心主控台中,停用使用者存取權。

    1. 選擇 Users (使用者)。

    2. 選擇您要停用其存取權的使用者。

    3. 在使用者的詳細資訊頁面上,展開 [一般資訊],然後選擇 [停用使用者存取] 按鈕,以防止使用者進一步登入。

  7. 將 [拒絕] 原則保留至少 12 小時。否則,具有有效 IAM 角色工作階段的使用者將會恢復具有 IAM 角色的動作。如果您等待 12 小時,作用中工作階段就會過期,使用者將無法再次存取 IAM 角色。

重要

如果在停止使用者工作階段之前停用使用者的存取權限 (您未完成步驟 5 就完成了步驟 6),則無法再透過 IAM Identity Center 主控台停止使用者工作階段。如果您在停止使用者工作階段之前不小心停用使用者存取權,您可以重新啟用使用者、停止其工作階段,然後再次停用其存取權。

如果使用者的密碼遭到入侵,您現在可以變更使用者的認證,並還原其指派

委派誰可以將單一登入存取權指派給管理帳戶中的使用者和群組

使用 IAM 身分中心主控台將單一登入存取權指派給管理帳戶是一項特權動作。根據預設,只有 AWS 帳戶根使用者 或已附加AWSSSOMasterAccountAdministratorIAMFullAccess AWS 受管理策略的使用者可以將單一登入存取權指派給管理帳戶。AWSSSOMasterAccountAdministrator和原IAMFullAccess則會管理 AWS Organizations 組織內管理帳戶的單一登入存取權。

使用下列步驟將管理單一登入存取權限委派給目錄中的使用者和群組。

授與管理目錄中使用者和群組的單一登入存取權限

  1. 以管理帳戶的根使用者身分或具有管理帳戶管理員權限的其他使用者身分登入 IAM Identity Center 主控台。

  2. 依照中的步驟建立許可集合建立權限集,然後執行下列動作:

    1. 在 [建立新權限集] 頁面上,選取 [建立自訂權限集] 核取方塊,然後選擇 [下一步:詳細資料]。

    2. 在 [建立新權限集] 頁面上,指定自訂權限集的名稱,並選擇性地指定描述。必要時,請修改工作階段持續時間並指定轉送狀態 URL。

      注意

      對於轉送狀態 URL,您必須指定位於中的 URL AWS Management Console。例如:

      https://console.aws.amazon.com/ec2/

      如需詳細資訊,請參閱 設定繼電器狀態

    3. 在 [您想要在權限集中包含哪些原則] 底下? ,選取 [附加 AWS 受管理的策略] 核取方塊。

    4. 在 IAM 政策清單中,選擇AWSSSOMasterAccountAdministrator和受IAMFullAccess AWS 管政策。這些原則會將權限授與 future 被指派此權限集存取權的任何使用者和群組。

    5. 選擇下一步:標籤

    6. 在「新增標籤 (選用)」下,指定「機值」(選用) 的值,然後選擇「下一步:複查」。如需標籤的詳細資訊,請參閱標記 AWS IAM Identity Center 資源

    7. 檢閱您所做的選取,然後選擇 [建立]。

  3. 請遵循中的步驟,指派使用者存取權給 AWS 帳戶將適當的使用者和群組指派給您剛建立的權限集。

  4. 將下列內容傳達給指派的使用者:當他們登入 AWS 存取入口網站並選擇 [帳戶] 索引標籤時,他們必須選擇適當的角色名稱,以便使用您剛才委派的權限進行驗證。