Identity and Access Management - AWS Toolkit for Eclipse

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Identity and Access Management

AWS Identity and Access Management(IAM) 讓您控制能存取您AWS資源,以及他們可以使用的功能。所以此AWSExplorer 讓您可建立及管理 IAM 使用者、群組和角色。您也可以設定使用者的密碼政策,讓您指定密碼長度等密碼要求,並指定是否允許使用者更改自己的密碼。

注意

這是一個最好的做法所有使用者,即使是帳戶擁有者,以存取AWS資源以 IAM 使用者身分。這可確保如果其中一個 IAM 使用者的登入資料遭到盜用,可以撤回受影響的登入資料,而不需要變更帳戶的根登入資料。

關於 AWS Identity and Access Management

您可以建立「IAM 使用者」,讓每個人都能有自己專屬的密碼和安全登入資料,而不用分享您帳戶的密碼及安全登入資料 (存取金鑰 ID 及私密存取金鑰)。然後您可以將「政策」連接至使用者;在政策中指定許可,以確定使用者可以執行的動作以及允許使用者存取的資源。

為方便起見,您可以建立「IAM 群組」 (例如 AdminsDevelopers) 與政策連接,然後將使用者新增到這些群組之中,而不用將政策新增至個別使用者。您也可以建立擁有許可政策的「角色」。其他帳戶的使用者、服務,或者沒有 IAM 身分的使用者也可以採用角色。如需 IAM 的詳細資訊,請參閱 IAM 使用者指南

建立 IAM 使用者

建立 IAM 使用者後,您組織中的其他人就可以有自己的AWS身分。您可以透過將 IAM 政策連接到使用者或指派使用者至群組中,將許可指派給 IAM 使用者。被指派到群組的 IAM 使用者將取得連接到該群組的政策專用許可。如需詳細資訊,請參閱建立 IAM 群組,以及新增 IAM 使用者到 IAM 群組

使用工具組,您也可以生成AWS憑證 (存取金鑰 ID 和私密存取金鑰)。如需詳細資訊,請參閱管理 IAM 使用者的登入資料

若要建立 IAM 使用者

  1. InAWS探險者中,展開AWSIdentity and Access Management以滑鼠右鍵按一下使用者節點,然後選取建立新的使用者

  2. Create New Users (建立新使用者) 對話方塊中,為新的 IAM 使用者輸入最多五個名稱,然後按一下 Finish (完成)。如需有關 IAM 使用者名稱限制條件的資訊,請參閱IAM 實體的限制中的IAM User Guide

如需將使用者新增至群組的資訊,請參閱新增 IAM 使用者到 IAM 群組。如需如何建立政策,並將它連接到使用者的資訊,請參閱將 IAM 政策連接到使用者、群組或角色

建立 IAM 群組

您可以新增 IAM 使用者到群組中,以便您能更輕鬆地管理許可。任何連接到該群組的許可都適用於該群組的任何使用者。如需 IAM 群組的詳細資訊,請參閱。使用使用者和群組中的IAM User Guide

在您建立群組時,您可以建立一個該群組成員皆會擁有的政策許可。

建立 IAM 群組

  1. InAWS探險者中,展開AWSIdentity and Access Management以滑鼠右鍵按一下Groups (群組)節點,然後選取建立新的群組

  2. 為新 IAM 群組輸入一個名稱,然後按一下 Next (下一步)

  3. 輸入一個政策名稱,這個政策規定該群組成員允許執行的動作。將政策輸入為 JSON 文件,然後按一下 OK (確定)

    確保政策在您的帳戶中無相同名稱。必須驗證您輸入的 JSON 的政策,否則您將無法儲存政策。如需如何建立政策的詳細資訊,請參閱。政策概觀中的IAM User Guide

  4. 按一下 Finish (完成)

如需將額外政策連接到 IAM 群組的資訊,請參閱將 IAM 政策連接到使用者、群組或角色

將 IAM 使用者新增至 IAM 群組

如果將 IAM 使用者新增至群組,任何連接到群組的政策也會對該使用者生效。如需 IAM 使用者的詳細資訊,請參閱。使用者和群組中的IAM User Guide

若要將 IAM 使用者新增至 IAM 群組

  1. InAWS探險者中,展開AWSIdentity and Access Management以滑鼠右鍵按一下Groups (群組)節點,然後選取開啟群組編輯器。請注意,您是從中新增 IAM 使用者到 IAM 群組中,從Groups (群組)中的節點AWS探險者而不是從使用者節點。

  2. Groups (群組) 編輯器中,選取您要新增使用者的群組,然後按一下 Users (使用者) 標籤。

  3. 在右下方底部的窗格中,按一下 Add Users (增加使用者) 按鈕。

  4. Add Users to Group (新增使用者到群組) 的對話方塊中,選取您要新增的使用者,然後按一下 OK (確定)

管理 IAM 使用者的登入資料

您可以為每位使用者新增密碼。IAM 使用者使用者以密碼來使用AWS中的資源AWS Management Console。

為 IAM 使用者建立密碼

  1. InAWS探險者中,展開AWSIdentity and Access Management以滑鼠右鍵按一下使用者節點,然後選取開啟使用者編輯器

  2. 在使用者清單中,選取您要建立密碼的使用者,然後按一下 Summary (摘要) 標籤。

  3. 在右下方底部的窗格中,按一下 Update Password (更新密碼) 按鈕。

  4. Update User Password (更新使用者密碼) 對話方塊的佇列名稱中輸入密碼,然後按一下 OK (確定)

    注意

    新的密碼將會覆寫任何現有的密碼。

您也可以產生一組存取金鑰 (存取金鑰 ID 和私密存取金鑰) 給每位使用者。這些按鍵可用來代表使用者以程式設計方式存取AWS— 例如,若要使用AWS命令列界面 (CLI)、使用 SDK 簽署程式設計的要求,或存取AWS服務。(如需有關如何指定用於工具組憑證的詳細資訊,請參閱設定AWS登入資料。)

產生 IAM 使用者專用的存取金鑰

  1. InAWS探險者中,展開AWSIdentity and Access Management以滑鼠右鍵按一下使用者節點,然後選取開啟使用者編輯器

  2. 在使用者清單中,選取您要產生金鑰的使用者,然後按一下 Summary (摘要) 標籤。

  3. 按一下 Manage Access Keys (管理存取金鑰) 按鈕。

    此時會顯示一個視窗,在此您可以管理使用者的存取金鑰。

  4. 按一下 Create Access Key (建立存取金鑰) 按鈕。

    此時將會顯示 Manage Access Key (管理存取金鑰) 對話方塊。

  5. 按一下 Download (下載) 按鈕,下載逗點分隔值 (CSV) 檔案,其中包含所產生的登入資料。

    注意

    這將是您唯一一次檢視及下載這些存取金鑰的機會。如果您遺失這些金鑰,您必須將它們刪除,並建立一組新的存取金鑰。

您可以為每位 IAM 使用者產生最多兩組登入資料。如果您已經有兩組登入資料,而需要建立額外的設定,您必須刪除其中一組現有的設定。

您也可以停用登入資料。在這種情況下,憑證仍然存在,但對AWS將失敗。如果您想要暫時停用存取AWS,以取得該組憑據。您也可以重新啟用先前停用的登入資料。

若要刪除、停用或啟用 IAM 使用者的存取金鑰

  1. InAWS探險者中,展開AWSIdentity and Access Management以滑鼠右鍵按一下使用者節點,然後選取開啟使用者編輯器

  2. 在使用者清單中,選取您要管理存取金鑰的使用者,按一下 Summary (摘要) 標籤,然後按一下 Manage Access Keys (管理存取金鑰) 按鈕。

  3. 在列出該使用者存取金鑰的清單視窗中,在您要管理的登入資料上按一下滑鼠右鍵,然後選擇以下其中一項:

    • Delete Access Key (刪除存取金鑰)

    • Make Inactive (設為閒置)

    • Make Active (設為啟用)

建立 IAM 角色

使用AWS工具組,您可以創建 IAM角色。然後,該角色可以假設由您希望允許存取您的AWS的費用。您連接到角色的政策,可決定誰能執行角色 (「信任的實體」或「委託人」),及允許那些實體進行的動作。

在工具組中,你可以指定以下信任的實體:

  • 同時AWS服務。例如,您可以指定 Amazon EC2 可以在下拉式清單中呼叫其他AWS服務或AWS Data Pipeline可以管理 Amazon EC2 執行個體。這稱為「服務角色」

  • 您擁有的不同帳戶。如果您有多個AWS帳戶之下,您可能需要讓一個帳戶中的使用者使用角色,以獲取存取另一個帳戶中資源的許可。

  • 第三方帳戶。您可能讓第三方廠商管理您的AWS的費用。在這種情況下,您可以在信任的實體是第三方的AWS帳戶。

在您指定信任實體後,您可以指定一個政策,用以決定允許角色執行的動作。

例如,您可以建立一個僅限存取您 Amazon S3 儲存貯體之一的角色,並將其與政策連接。您可以將該角色與 Amazon EC2 執行個體建立關聯。在 Amazon EC2 執行個體上執行應用程式時,應用程式僅能存取您允許在該角色政策之下存取的 Amazon S3 儲存貯體。

如需 IAM 角色的詳細資訊,請參閱 IAM 使用者指南中的 IAM 角色

若要建立一個 IAM 角色

  1. InAWS探險者中,展開AWSIdentity and Access Management以滑鼠右鍵按一下角色節點,然後選取建立新的角色

  2. 輸入 IAM 角色的名稱,然後按一下 Next (下一步)

  3. 選取角色的信任實體。若要建立服務角色,請選取AWS服務角色,然後從下拉式清單中選取服務角色。

    若要為使用者提供存取權,定義在不同AWS帳戶,請選取帳戶 ID,然後輸入AWS帳戶號碼的其他帳戶。

    若要提供存取給第三方帳戶,請選取帳戶 ID,然後輸入第三方的AWS帳戶號碼。如果有第三方提供給您的外部 ID,也請輸入。

  4. 按一下 Next (下一步)

  5. 輸入一個政策名稱,這個政策規定該角色允許執行的動作。接下來將政策輸入為 JSON 文件,然後按一下 OK (確定)

    確保政策在您的帳戶中無相同名稱。必須驗證您輸入的 JSON 的政策,否則您將無法儲存政策。如需有關如何建立政策的更多資訊,請參閱使用 IAM 中的政策概觀指南。

  6. 按一下 Finish (完成)

    新的 IAM 角色將顯示在 Roles (角色) 編輯器中。

如果示範如何存取AWS使用與 Amazon EC2 執行個體相關聯的 IAM 角色,請參閱使用 IAM 角色以授予存取AWSAmazon EC2 上的資源中的AWS SDK for Java開發人員指南

將 IAM 政策連接到使用者、群組或角色

政策是定義許可的文件。例如,連接到使用者的政策能指定AWS動作,以及允許使用者對何種資源執行動作。若政策連接至群組,則許可套用到該群組的所有使用者。若政策連接至角色,則許可套用到擔任該角色的使用者。

連接政策到使用者或群體的過程相似。就角色而言,您可以連接政策以指定允許角色執行的動作。您可以使用單獨的程序,以連接或編輯政策來決定允許誰擔任該角色 (也就是管理信任關係。)

注意

如果您之前曾連接政策到使用者、群組或角色,可以使用這個程序連接額外的政策。若要編輯現有使用者、群組或角色的政策,請使用 IAM 主控台、命令列工具或 API 呼叫。

若要為使用者、群組或角色建立專用 IAM 政策

  1. InAWS探險者中,展開AWSIdentity and Access Management] 節點,然後按兩下Groups (群組)節點,使用者節點,或角色節點。

  2. 選擇要和政策連接的使用者、群組或角色,然後按一下 Permissions (許可) 標籤。

  3. 在右下方底部的窗格中,按一下 Attach Policy (連接政策) 按鈕。

  4. Manage Group Policy (管理群組政策)Manage User Policy (管理使用者政策)Manage Role Permissions (管理角色許可) 對話方塊中,輸入政策名稱。接下來將政策輸入為 JSON 文件,然後按一下 OK (確定)

    確保政策在您的帳戶中無相同名稱。必須驗證您輸入的 JSON 的政策,否則您將無法儲存政策。如需如何建立政策的詳細資訊,請參閱。IAM 政策概觀中的IAM User Guide

若要建立或管理角色的信任關係

  1. InAWS探險者中,展開AWSIdentity and Access Management] 節點,然後按兩下角色節點。

  2. Roles (角色) 編輯器中,選取您要管理的角色,然後按一下 Trust Relationships (信任關係) 標籤。

  3. 在右下方底部的窗格中,按一下 Edit Trust Relationship (編輯信任關係) 按鈕。

  4. Edit Trust Relationship (編輯信任關係) 對話方塊中,編輯 JSON 政策文件,然後按一下 OK (確定)

設定密碼政策

在 Eclipse 的工具包中,您可以為您的帳戶設定專用的密碼政策。這可讓您確保為 IAM 使用者所建立的專用密碼,完全遵循長度與複雜性準則。它也能讓您指定使用者是否可以變更自己的密碼。如需詳細資訊,請參閱「」管理 IAM 密碼政策中的IAM User Guide

若要為使用者、群組建立專用 IAM 政策

  1. InAWS探險者,在下方Identity and Access Management中,按兩下密碼政策節點。

  2. 在 中密碼政策窗格中,指定您想要使用AWS帳戶,然後按一下。套用密碼政策