任務 2:建立使用者並指派許可 - AWS Systems Manager

任務 2:建立使用者並指派許可

為需要存取 AWS Systems Manager 的個人建立 AWS Identity and Access Management IAM 使用者,再將每個使用者新增至適當的使用者群組,以確保他們都有正確等級的許可。

注意

如果您的組織已有現有的身分系統,您可能會想建立單一登入 (SSO) 選項。SSO 可讓使用者存取您帳戶的 AWS Management Console,而不需要求他們擁有 IAM 使用者身分。SSO 也可讓使用者不必分別登入您組織的網站和 AWS。如需詳細資訊,請參閱使自訂身分經紀人存取 AWS 主控台

根據是否已經建立此群組的使用者帳戶,使用下列其中一個程序:

建立使用者並新增許可

  1. 在 IAM 主控台的導覽窗格中,選擇 Users (使用者),然後選擇 Add user (新增使用者)

  2. 針對 User name (使用者名稱),輸入使用者會用來登入 AWS Systems Manager 的名稱。

  3. 若要允許使用者存取 AWS API、AWS CLI、AWS 開發套件及其他開發工具,請選取 Programmatic access (以程式設計方式存取) 旁的核取方塊。

    這會為新的使用者建立存取金鑰。當您到達 Final (最終) 頁面時可以檢視或下載存取金鑰。

  4. 若要允許使用者存取 AWS Management Console,請選取 AWS Management Console access (AWS 管理主控台存取) 旁的核取方塊。

    AWS Management Console 提供了一個 Web 界面,在其中您能管理您的運算、儲存和其他雲端資源。在 AWS Management Console 中,個別的服務都有自己專屬的主控台。例如,您可以使用 Amazon EC2 主控台和透過 Amazon S3 主控台的儲存來管理運算資源。

    如果您選擇 Custom password (自訂密碼),請輸入使用者的初始密碼。您可以選擇性選取 Require password reset (需要密碼重設),強制使用者在下次使用者登入時建立新密碼。

  5. 選擇 Next: Permissions (下一步:許可)

  6. Set permissions for user (設定使用者的許可) 頁面上,選擇 Add user to group (新增使用者至群組)。

  7. 在群組清單中,選擇要新增使用者的使用者群組,然後選擇 Next: Tags (下一步:標籤)

  8. (選用) 新增一或多個標籤金鑰/值對來組織、追蹤或控制此使用者的存取權,然後選擇 Next: Review (下一步:檢閱) 來查看新使用者將加入的群組成員資格清單。

  9. 選擇 Create user (建立使用者)。

  10. 若要檢視使用者的存取金鑰 (存取金鑰 ID 和私密存取金鑰),請選擇想要查看之每個密碼和存取金鑰旁的 Show (顯示)。若要儲存存取金鑰,請選擇 Download .csv,然後將檔案儲存到安全的位置。

    重要

    這將是您檢視或下載這些私密存取金鑰的唯一機會。您的使用者需要這些資訊,才能使用 AWS API 或 AWS CLI。請將使用者的新存取金鑰 ID 和私密存取金鑰存放在安全處。在此步驟之後,您將無法再存取該私密金鑰。

  11. 提供每位使用者登入資料。您可以在最終頁面選擇每位使用者旁的 Send email (傳送電子郵件)。您的本機郵件用戶端會開啟可供您自訂和傳送的草稿。電子郵件範本包含每位使用者的以下詳細資訊:

    • 使用者名稱

    • 帳戶登入頁面的 URL。使用以下範例,取代正確的帳戶 ID 號碼或帳戶別名:

      https://account-ID or alias.signin.aws.amazon.com/console

    如需詳細資訊,請參閱 IAM 使用者指南中的 IAM 使用者如何登入 AWS

    重要

    使用者的密碼不會包含在產生的電子郵件中。以遵守您組織的安全準則的方式向使用者提供密碼。

為現有的使用者新增許可

  1. 在 IAM 主控台導覽窗格中,選擇 Users (使用者)。

  2. 選擇要新增至群組的使用者名稱,然後選擇 Add permission (新增許可)

  3. 針對 Add user to group (新增使用者至群組),選取要新增使用者之群組旁的方塊,例如 SSMUserGroup,或您建立的不同使用者群組名稱。

  4. 新增要指派給使用者的任何其他可用許可政策。

  5. 選擇 Next: Review (下一步:檢閱),查看要新增至新使用者的群組成員資格清單。

  6. 選擇 Add permissions (新增許可)。

繼續進行步驟 4:建立 Systems Manager 的 IAM 執行個體描述檔