建立和配置 IAM 使用者建立 IAM 群組將 IAM 使用者新增至 IAM 群組生成 IAM 使用者的登入資料建立 IAM 角色建立 IAM 政策

Identity and Access Management

AWS Identity and Access Management(IAM)，您可以更安全地管理您的AWS 帳戶和資源. 藉助 IAM，您可以在主（根)AWS 帳戶。這些用户可以擁有自己的證書：密碼、訪問密鑰 ID 和私有密鑰，但所有 IAM 用户共享一個賬户號碼。

您可以通過向用户附加 IAM 策略來管理每個 IAM 用户的資源訪問級別。例如，您可以將策略附加到 IAM 用户，該策略授予用户訪問 Amazon S3 服務和您賬户中相關資源的權限，但該策略不提供對任何其他服務或資源的訪問權限。

如需更高效的存取管理，您可以建立 IAM 羣組，即使用者的集合。當您將策略附加到組時，它將影響作為該組成員的所有用户。

除了管理用户和組級別的權限外，IAM 還支持 IAM 角色的概念。與用户和組一樣，您可以將策略附加到 IAM 角色。您可以將 IAM 角色與 Amazon EC2 執行個體建立關聯。在 EC2 執行個體上執行的應用程式，可以訪問AWS使用 IAM 角色所提供的許可。如需將 IAM 角色與 Toolkit 結合使用的詳細資訊，請參建立 IAM 角色。如需 IAM 的詳細資訊，請前往IAM User Guide。

建立和配置 IAM 使用者

IAM 用户允許您授予他人訪問您的AWS 帳戶。由於您能夠將策略附加到 IAM 用户，因此您可以精確限制 IAM 用户可以訪問的資源以及他們可以對這些資源執行的操作。

根據最佳實務，所有使用者AWS 帳戶應以 IAM 用户身份執行此操作，甚至是賬户的所有者。這可確保如果其中一個 IAM 使用者的登入資料遭到盜用，只能停用這些登入資料。無需停用或更改帳户的根憑據。

您可以從 Toolkit to Visual Studio，您可以通過將 IAM 政策連接到 IAM 使用者或將該使用者指派到羣組中，將許可指派給 IAM 使用者。被指派到該羣組的 IAM 使用者將獲取連接到該羣組的政策許可。如需詳細資訊，請參閱建立 IAM 群組，以及新增 IAM 使用者到 IAM 群組。

您還可以從 Toolkit for Visual Studio 中，您也可以生成AWS登入資料（存取密鑰 ID 和私密鑰）。如需詳細資訊，請參閱「」生成 IAM 使用者的登入資料

適用 Toolkit for Visual Studio 支持指定 IAM 使用者登入資料，以便通過AWSExplorer 由於 IAM 用户通常沒有對所有 Amazon Web Services 的完全訪問權限，因此AWSExplorer 可能不適用。如果您使用AWS資源管理器在活動賬户是 IAM 用户時更改資源，然後將活動賬户切換到根賬户，則更改可能不會顯示，直到您刷新AWSExplorer 若要刷新視圖，請選擇 Reresh () 按鈕。

如需如何從AWS Management Console，請前往使用使用者和用户(IAM 使用者指南)。

建立 IAM 使用者

InAWS資源管理器中，展開AWS Identity and Access Management節點中，開啟內容 (按右鍵) 功能表，然後選擇使用者然後選擇建立使用者。
在中建立使用者對話方塊中，輸入 IAM 使用者的名稱，然後選擇確定。這是 IAM友好名稱。如需 IAM 使用者名稱限制條件的詳細資訊，請參IAM User Guide。

Create an IAM user

新使用者將顯示為使用者在下方AWS Identity and Access Management節點。

如需如何建立政策，並將它連接到使用者的資訊，請參建立 IAM 政策。

建立 IAM 群組

組提供了一種將 IAM 策略應用於用户集合的方法。如需如何管理 IAM 使用者和羣組的詳細資訊，請參使用使用者和用户(IAM 使用者指南)。

若要建立 IAM 群組

InAWSExplorerIdentity and Access Management下，開啟內容 (按右鍵) 功能表，然後選擇Groups (群組)並選擇建立羣組。
在中建立羣組對話方塊中，輸入 IAM 羣組的名稱，然後選擇確定。

Create IAM group

新 IAM 組將顯示在Groups (群組)子節點Identity and Access Management。

如需如何建立政策，並將它連接到 IAM 羣組的詳細資訊，請參建立 IAM 政策。

將 IAM 使用者新增至 IAM 群組

IAM 羣組成員的 IAM 使用者將從連接到該羣組的政策中獲取存取許可。IAM 羣組的目的是使您能夠更輕鬆地管理 IAM 使用者集合的許可。

有關附加到 IAM 組的策略如何與附加到作為該 IAM 組成員的 IAM 用户的策略進行交互的信息，請轉到《IAM 使用者指南》中的管理 IAM 政策。

InAWS資源管理器，您可以從使用者子節點，而不是Groups (群組)子節點。

若要將 IAM 使用者新增至 IAM 群組

InAWSExplorerIdentity and Access Management下，開啟內容 (按右鍵) 功能表，然後選擇使用者並選擇Edit (編輯)。

Assign an IAM user to a IAM group
的左側窗格顯示Groups (群組)選項卡顯示可用的 IAM 組。右窗格顯示指定 IAM 用户已經是其成員的組。

若要將 IAM 使用者添加到羣組中，請在左窗中選擇 IAM 羣組，然後選擇>按鈕。

要從羣組中移除 IAM 用户，請在右窗格中選擇 IAM 組，然後選擇<按鈕。

要將 IAM 用户添加到所有 IAM 組，請選擇>>按鈕。同樣，要從所有組中移除 IAM 用户，請選擇<<按鈕。

要選擇多個組，請按順序選擇它們。您不需要按住 Control (Control) 鍵。要從您的選擇中清除某個組，只需再次選擇該組。
完成將 IAM 用户分配給 IAM 組後，選擇Save。

生成 IAM 使用者的登入資料

使用適用 Toolkit for Visual Studio，您可以生成訪問密鑰 ID 和密鑰，用於對AWS。也可以指定這些密鑰，以便通過工具包訪問 Amazon Web Services。如需如何指定與 Toolkit 一起使用的登入資料的詳細資訊，請參 Creds。如需如何安全地處理登入資料的詳細資訊，請參管理的最佳實務AWS存取金鑰。

工具包不能用於為 IAM 使用者生成密碼。

生成 IAM 使用者的登入資料

InAWS，請為 IAM 使用者打開上下文 (右鍵按一下) 菜單，然後選擇Edit (編輯)。
要生成憑據，請在存取金鑰選項卡上選擇建立。

您可以為每位 IAM 使用者產生最多兩組登入資料。如果您已經有兩組登入資料，並需要建立額外的登入資料，您必須刪除其中一組現有登入資料。

reate credentials for IAM user

如果希望 Toolkit 將私有訪問密鑰的加密副本保存到本地驅動器，請選擇在本地保存私有訪問密鑰。AWS僅在創建時返回私有訪問密鑰。您還可以從對話框中複製私有訪問密鑰並將其保存在安全位置。
選擇 OK (確定)。

在您生成登入資料之後，您可以從存取金鑰選項卡。如果您選擇了讓 Toolkit 在本地保存密鑰的選項，則該密鑰將顯示在此處。

Create credentials for IAM user

如果您自己保存了密鑰，並希望 Toolkit 保存密鑰，請在Secret Access Key (私密存取金鑰)框中，鍵入私有訪問密鑰，然後選擇在本機保存私密存取金鑰。

若要停用憑證，請選擇Make Inactive (設為閒置)。（如果您懷疑憑據已被盜用，則可以執行此操作。如果您收到證書是安全的，則可以重新激活憑據。）

建立 IAM 角色

適用 Toolkit for Visual Studio 支援 IAM 角色的建立和配置。與用户和組一樣，您可以將策略附加到 IAM 角色。您可以將 IAM 角色與 Amazon EC2 執行個體建立關聯。與 EC2 執行個體的關聯是通過執行個體描述檔，這是角色的邏輯容器。在 EC2 實例上運行的應用程序將自動授予與 IAM 角色關聯的策略所指定的訪問級別。即使應用程式沒有指定其他AWS登入資料。

例如，您可以建立僅限存取 Amazon S3 的角色，並將政策連接到該角色。將此角色與 EC2 實例關聯後，您可以在該實例上運行應用程序，該應用程序將有權訪問 Amazon S3，但不能訪問任何其他服務或資源。這種方法的優點是您不需要關注安全傳輸和存儲AWS證書。

如需 IAM 角色的詳細資訊，請前往《IAM 使用者指南》中的使用 IAM 角色。有關訪問的程序示例AWS使用與 Amazon EC2 實例關聯的 IAM 角色，請轉到AWS的開發人員指南爪哇、.NET、PHP, 和 Ruby (使用 IAM 設置證書、建立 IAM 角色，和處理 IAM 政策。

若要建立一個 IAM 角色