ถาม: AWS Identity and Access Management (IAM) คืออะไร
คุณสามารถใช้ AWS IAM เพื่อควบคุมการเข้าถึงอย่างปลอดภัยเป็นรายบุคคลหรือแบบกลุ่มไปยังทรัพยากร AWS คุณสามารถสร้างและจัดการข้อมูลประจำตัวผู้ใช้ (“ผู้ใช้ IAM”) และมอบสิทธิ์ในการเข้าถึงทรัพยากรของคุณให้แก่ผู้ใช้ IAM รายอื่น คุณยังสามารถมอบสิทธิ์ให้กับผู้ใช้นอก AWS ได้อีกด้วย (ผู้ใช้ที่เชื่อมโยง)

ถาม: ฉันจะเริ่มต้นใช้งาน IAM อย่างไร
หากต้องการเริ่มใช้ IAM คุณต้องสมัครใช้งานบริการของ AWS อย่างน้อยหนึ่งรายการที่ผนวกรวมกับ IAM จากนั้นคุณจึงสามารถสร้างและจัดการผู้ใช้ กลุ่ม และสิทธิ์ผ่าน IAM API, AWS CLI หรือ IAM Console ซึ่งมีอินเทอร์เฟซแบบชี้และคลิกบนเว็บ คุณยังสามารถใช้ Visual Editor เพื่อสร้างนโยบายได้อีกด้วย

ถาม: IAM ช่วยแก้ปัญหาอะไรได้บ้าง
IAM ช่วยให้มอบการเข้าถึงทรัพยากร AWS อย่างปลอดภัยให้กับผู้ใช้หลายรายได้อย่างง่ายดาย IAM ช่วยให้คุณทำสิ่งต่อไปนี้ได้:

  • จัดการผู้ใช้ IAM และสิทธิ์การเข้าถึง: คุณสามารถสร้างผู้ใช้ในระบบการจัดการข้อมูลประจำตัวของ AWS, กำหนดวิธีการยืนยันเพื่อรักษาความปลอดภัยของผู้ใช้แต่ละคน (เช่น คีย์การเข้าถึง รหัสผ่าน และอุปกรณ์ Multi-Factor Authentication) หรือส่งคำขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว เพื่อให้ผู้ใช้เข้าถึงบริการและทรัพยากรของ AWS ได้ คุณสามารถกำหนดสิทธิ์เพื่อควบคุมปฏิบัติการที่ผู้ใช้สามารถใช้ได้
  • จัดการการเข้าถึงสำหรับผู้ใช้ที่เชื่อมโยง: คุณสามารถขอการยืนยันเพื่อรักษาความปลอดภัยที่มีวันหมดอายุที่กำหนดค่าได้สำหรับผู้ใช้ที่คุณจัดการในไดเรกทอรีบริษัท ทำให้คุณสามารถมอบการเข้าถึงทรัพยากรที่ปลอดภัยให้กับพนักงานและแอปพลิเคชันในบัญชี AWS โดยไม่ต้องสร้างบัญชีผู้ใช้ IAM คุณกำหนดสิทธิ์ให้กับการยืนยันเพื่อรักษาความปลอดภัยเพื่อควบคุมปฏิบัติการที่ผู้ใช้สามารถใช้ได้

ถาม: ใครสามารถใช้ IAM ได้บ้าง
ลูกค้า AWS ทุกคนสามารถใช้ IAM ได้ เป็นบริการแบบไม่เสียค่าใช้จ่ายเพิ่มเติม คุณจะได้รับการเรียกเก็บค่าบริการเมื่อผู้ใช้ของคุณใช้บริการของ AWS อื่นๆ เท่านั้น

ถาม: ผู้ใช้คืออะไร
ผู้ใช้คือข้อมูลประจำตัวแบบเฉพาะตัวที่บริการและแอปพลิเคชัน AWS จดจำได้ ซึ่งมีความคล้ายคลึงกับการที่ผู้ใช้ลงชื่อเข้าใช้ระบบปฏิบัติการ Windows หรือ UNIX โดยที่ผู้ใช้จะมีชื่อเฉพาะตัวและสามารถระบุตัวตนของตัวเองได้โดยใช้การยืนยันเพื่อรักษาความปลอดภัยที่คล้ายกัน เช่น รหัสผ่านหรือคีย์การเข้าถึง ผู้ใช้อาจเป็นบุคคล ระบบ หรือแอปพลิเคชันที่ต้องการเข้าถึงบริการของ AWS IAM รองรับผู้ใช้ (เรียกว่า “ผู้ใช้ IAM”) ที่ได้รับการจัดการในระบบการจัดการข้อมูลประจำตัวของ AWS และยังทำให้คุณสามารถมอบการเข้าถึงทรัพยากร AWS สำหรับผู้ใช้ที่ได้รับการจัดการนอก AWS ในไดเรกทอรีบริษัทของคุณได้อีกด้วย (เรียกว่า “ผู้ใช้ที่เชื่อมโยง”)

ถาม: ผู้ใช้ทำอะไรได้บ้าง
ผู้ใช้สามารถส่งคำขอไปยังบริการเว็บ เช่น Amazon S3 และ Amazon EC2 ความสามารถในการเข้าถึง API บริการเว็บของผู้ใช้อยู่ภายใต้การควบคุมและความรับผิดชอบของบัญชี AWS ตามที่กำหนด คุณสามารถอนุญาตให้ผู้ใช้เข้าถึงบริการของ AWS บริการใดบริการหนึ่งหรือบริการทั้งหมดที่ผนวกรวมกับ IAM และบัญชี AWS ที่สมัครใช้งาน หากได้รับอนุญาต ผู้ใช้มีสิทธิ์เข้าถึงทรัพยากรทั้งหมดภายใต้บัญชี AWS ได้ นอกจากนี้ หากบัญชี AWS มีสิทธิ์เข้าถึงทรัพยากรจากบัญชี AWS อื่น ผู้ใช้บัญชีนั้นๆ อาจสามารถเข้าถึงข้อมูลภายใต้บัญชี AWS เหล่านั้นได้ ทรัพยากร AWS ใดๆ ที่สร้างโดยผู้ใช้จะอยู่ภายใต้การควบคุมและชำระค่าบริการโดยบัญชี AWS ของผู้ใช้ ผู้ใช้ไม่สามารถสมัครใช้งานบริการของ AWS หรือควบคุมทรัพยากรได้ด้วยตนเองอย่างอิสระ

ถาม:ผู้ใช้จะเรียกใช้บริการของ AWS ได้อย่างไร
ผู้ใช้สามารถส่งคำขอไปยังบริการของ AWS โดยใช้การยืนยันเพื่อรักษาความปลอดภัย สิทธิ์ที่ชัดเจนมีอำนาจเหนือความสามารถของผู้ใช้ในการเรียกใช้บริการของ AWS ตามค่าเริ่มต้น ผู้ใช้จะไม่สามารถเรียกใช้ API บริการในนามของบัญชี

ถาม: ฉันจะเริ่มต้นใช้งาน IAM อย่างไร
หากต้องการเริ่มใช้ IAM คุณต้องสมัครใช้งานบริการของ AWS อย่างน้อยหนึ่งรายการที่ผนวกรวมกับ IAM จากนั้นคุณจึงสามารถสร้างและจัดการผู้ใช้ กลุ่ม และสิทธิ์ผ่าน IAM API, AWS CLI หรือ IAM Console ซึ่งมีอินเทอร์เฟซแบบชี้และคลิกบนเว็บ คุณยังสามารถใช้ AWS Policy Generator เพื่อสร้างนโยบายได้อีกด้วย


ถาม: ผู้ใช้ IAM ได้รับการจัดการอย่างไร
IAM รองรับหลากหลายวิธีเพื่อ:

  • สร้างและจัดการผู้ใช้ IAM
  • สร้างและจัดการกลุ่ม IAM
  • จัดการการยืนยันเพื่อรักษาความปลอดภัยของผู้ใช้
  • สร้างและจัดการนโยบายเพื่อมอบการเข้าถึงบริการและทรัพยากร AWS

คุณสามารถสร้างและจัดการผู้ใช้ กลุ่ม และนโยบายโดยใช้ IAM API, AWS CLI หรือ IAM Console คุณยังสามารถใช้ Visual Editor และตัวจำลองนโยบาย IAM เพื่อสร้างและทดสอบนโยบายได้

ถาม: กลุ่มคืออะไร
กลุ่มคือคอลเลกชันของผู้ใช้ IAM จัดการกลุ่มสมาชิกให้เป็นรายชื่อแบบไม่ซับซ้อน:

  • เพิ่มผู้ใช้ไปยังหรือลบออกจากกลุ่ม
  • ผู้ใช้สามารถอยู่ในกลุ่มได้หลายกลุ่ม
  • กลุ่มไม่สามารถเป็นส่วนหนึ่งของกลุ่มอื่นได้
  • สามารถมอบสิทธิ์ให้กับกลุ่มได้โดยใช้นโยบายควบคุมการเข้าถึง ซึ่งทำให้ง่ายต่อการจัดการสิทธิ์สำหรับคอลเลกชันผู้ใช้ แทนที่จะต้องจัดการสิทธิ์สำหรับผู้ใช้ทีละคน
  • กลุ่มไม่จำเป็นต้องมีการยืนยันด้านความปลอดภัยและไม่สามารถเข้าถึงบริการเว็บได้โดยตรง กลุ่มยังคงอยู่เพื่อให้สามารถจัดการสิทธิ์ผู้ใช้ได้ง่ายขึ้น สำหรับรายละเอียด ให้ดูการทำงานกับกลุ่มและผู้ใช้

ถาม: ผู้ใช้ IAM สามารถมีการยืนยันเพื่อรักษาความปลอดภัยประเภทใดได้บ้าง
ผู้ใช้ IAM สามารถมีรหัสการยืนยันแบบใดก็ได้ที่ AWS รองรับ เช่น คีย์การเข้าถึง AWS, ใบรับรอง X.509, คีย์ SSH, รหัสผ่านสำหรับการลงชื่อเข้าใช้เว็บแอป หรืออุปกรณ์ MFA สิ่งนี้ทำให้ผู้ใช้สามารถโต้ตอบกับ AWS ได้ในรูปแบบต่างๆ ตามต้องการ พนักงานอาจมีได้ทั้งคีย์การเข้าถึงและรหัสผ่าน AWS โดยที่ระบบซอฟต์แวร์อาจมีเพียงคีย์การเข้าถึง AWS เพื่อเรียกใช้แบบกำหนดด้วยโปรแกรม ผู้ใช้ IAM อาจมีคีย์ SSH ส่วนตัวสำหรับเข้าถึงคลัง AWS CodeCommit และผู้ทำสัญญาภายนอกอาจมีเพียงใบรับรอง X.509 เพื่อใช้งานอินเทอร์เฟซบรรทัดคำสั่ง EC2 สำหรับรายละเอียด ให้ดูการยืนยันด้านความปลอดภัยชั่วคราวในเอกสาร IAM

ถาม: บริการของ AWS ใดบ้างที่รองรับผู้ใช้ IAM
คุณสามารถดูรายชื่อบริการของ AWS ที่รองรับผู้ใช้ IAM ในส่วนบริการของ AWS ที่ใช้งานได้กับ IAM ของเอกสาร IAM AWS มีแผนที่จะเพิ่มการรองรับสำหรับบริการอื่นๆ ในอนาคต

ถาม: ฉันสามารถเปิดใช้งานและปิดใช้งานการเข้าใช้ของผู้ใช้ได้หรือไม่
ได้ คุณสามารถเปิดและปิดใช้งานคีย์การเข้าถึงของผู้ใช้ IAM ผ่าน IAM API, AWS CLI หรือ IAM Console หากคุณปิดใช้งานคีย์การเข้าถึง ผู้ใช้จะไม่สามารถเข้าถึงบริการของ AWS ได้ตามที่กำหนดโดยโปรแกรม

ถาม: ผู้ใดที่สามารถจัดการผู้ใช้บัญชี AWS ได้บ้าง
เจ้าของบัญชี AWS สามารถจัดการผู้ใช้ กลุ่ม การยืนยันเพื่อรักษาความปลอดภัย และสิทธิ์ได้ นอกจากนี้ คุณอาจสามารถมอบสิทธิ์ในการเรียกใช้งาน IAM API เพื่อจัดการผู้ใช้รายอื่นๆ ให้กับผู้ใช้รายบุคคลได้อีกด้วย ตัวอย่างเช่น อาจสร้างผู้ใช้ที่เป็นผู้ดูแลระบบเพื่อจัดการผู้ใช้สำหรับองค์กร ซึ่งนี่ถือเป็นแนวทางการปฏิบัติที่แนะนำ เมื่อคุณมอบสิทธิ์เพื่อจัดการผู้ใช้รายอื่นๆ ให้กับผู้ใช้ ผู้ใช้ที่ได้รับสิทธิ์สามารถจัดการได้ผ่าน IAM API, AWS CLI หรือ IAM Console

ถาม: ฉันสามารถวางโครงสร้างคอกเลกชันผู้ใช้ตามลำดับขั้นได้หรือไม่ เช่น ใน LDAP
ได้ คุณสามารถจัดระเบียบผู้ใช้และกลุ่มใต้พาธต่างๆ ได้ เช่นเดียวกันกับพาธออบเจ็กต์ใน Amazon S3 ตัวอย่างเช่น /mycompany/division/project/joe

ถาม: ฉันสามารถกำหนดผู้ใช้ตามภูมิภาคได้หรือไม่
ไม่สามารถทำได้ในตอนแรก ผู้ใช้คือหน่วยงานรวม เช่น บัญชี AWS ในปัจจุบัน ไม่จำเป็นต้องกำหนดภูมิภาคเมื่อคุณกำหนดสิทธิ์ผู้ใช้ ผู้ใช้สามารถใช้บริการของ AWS ได้ในทุกภูมิภาค

ถาม: อุปกรณ์ MFA ถูกกำหนดค่าสำหรับผู้ใช้ IAM อย่างไร
คุณ (เจ้าของบัญชี AWS) สามารถสั่งอุปกรณ์ MFA ได้หลายเครื่อง คุณสามารถกำหนดอุปกรณ์เหล่านี้ให้กับผู้ใช้ IAM แต่ละรายผ่าน IAM API, AWS CLI หรือ IAM Console

ถาม: การหมุนเวียนคีย์ประเภทใดที่รองรับสำหรับผู้ใช้ IAM
คีย์การเข้าถึงของผู้ใช้และใบรับรอง X.509 สามารถหมุนเวียนได้เช่นเดียวกับตัวระบุการเข้าถึงรากของบัญชี AWS คุณสามารถจัดการและหมุนเวียนคีย์การเข้าถึงของผู้ใช้และใบรับรอง X.509 ได้โดยกำหนดด้วยโปรแกรมผ่าน IAM API, AWS CLI หรือ IAM Console

ถาม: ผู้ใช้ IAM สามารถมีคีย์ EC2 SSH แยกได้หรือไม่
ไม่สามารถมีได้ในการเปิดตัวช่วงแรก IAM ไม่มีผลกระทบต่อคีย์ EC2 SSH หรือใบรับรอง Windows RDP หมายความว่าแม้ผู้ใช้แต่ละรายมีการยืนยันที่แยกจากกันสำหรับการเข้าถึง API บริการเว็บ แต่ผู้ใช้จะต้องแชร์คีย์ SSH เดียวกันภายในบัญชี AWS ที่กำหนดให้ผู้ใช้

ถาม: ฉันสามารถใช้คีย์ SSH ได้ที่ใด

ปัจจุบัน ผู้ใช้ IAM สามารถใช้คีย์ SSH ของตนเองกับ AWS CodeCommit เท่านั้นเพื่อเข้าถึงคลังของตน

ถาม: ชื่อผู้ใช้ IAM จะต้องเป็นที่อยู่อีเมลเท่านั้นใช่หรือไม่
ไม่จำเป็น แต่สามารถใช้ได้ ชื่อผู้ใช้เป็นเพียงสตริง ASCII แบบไม่ซ้ำกันในบัญชี AWS ที่กำหนด คุณสามารถกำหนดชื่อโดยใช้แบบแผนการตั้งชื่อตามที่คุณเลือก รวมถึงที่อยู่อีเมล

ถาม : ฉันสามารถใช้ชุดอักขระใดเป็นชื่อผู้ใช้ IAM ได้บ้าง
คุณสามารถใช้อักขระ ASCII สำหรับหน่วยงาน IAM ได้เท่านั้น

ถาม: รองรับลักษณะประจำของผู้ใช้อื่นๆ ที่ไม่ใช่ชื่อผู้ใช้หรือไม่
ยังใช้ไม่ได้ในขณะนี้

ถาม: กำหนดรหัสผ่านผู้ใช้อย่างไร
คุณสามารถกำหนดรหัสผ่านแรกสำหรับผู้ใช้ IAM ผ่าน IAM Console, AWS CLI หรือ IAM API ได้ รหัสผ่านผู้ใช้จะไม่ปรากฏเป็นข้อความชัดเจนหลังจากที่มอบให้ และจะไม่แสดงขึ้นหรือส่งกลับผ่านการเรียกใช้ API ผู้ใช้ IAM สามารถจัดการรหัสผ่านของพวกเขาผ่านหน้ารหัสผ่านของฉันใน IAM Console ผู้ใช้เข้าถึงหน้านี้โดยเลือกตัวเลือกการยืนยันเพื่อรักษาความปลอดภัยจากรายการแบบดึงลงที่มุมขวาบนของ AWS Management Console

ถาม: ฉันสามารถกำหนดนโยบายรหัสผ่านสำหรับรหัสผ่านผู้ใช้ของฉันได้หรือไม่
ได้ คุณสามารถใช้รหัสผ่านที่มีความปลอดภัยสูงโดยกำหนดรหัสผ่านตามความยาวขั้นต่ำหรือให้มีตัวเลขอย่างน้อยหนึ่งตัว คุณยังสามารถบังคับใช้รหัสผ่านที่หมดอายุโดยอัตโนมัติ ป้องกันการนำรหัสผ่านเก่ามาใช้ซ้ำ และบังคับรีเซ็ตรหัสผ่านเมื่อลงชื่อเข้าใช้ AWS ครั้งถัดไป สำหรับรายละเอียด ให้ดูการตั้งรหัสผ่านนโยบายบัญชีสำหรับผู้ใช้ IAM

ถาม: ฉันสามารถกำหนดโควตาการใช้งานของผู้ใช้ IAM ได้หรือไม่
ไม่ได้ ขีดจำกัดทั้งหมดมีอยู่ในบัญชี AWS แบบภาพรวม ตัวอย่างเช่น หากบัญชี AWS ของคุณมีอินสแตนซ์ Amazon EC2 จำกัดอยู่ที่ 20 อินสแตนซ์ ผู้ใช้ IAM ที่มีสิทธิ์ EC2 สามารถเริ่มต้นใช้งานอินสแตนซ์จนถึงขีดจำกัดเท่านั้น คุณไม่สามารถจำกัดขอบเขตสิ่งที่ผู้ใช้แต่ละรายสามารถทำได้


ถาม: บทบาท IAM คืออะไร
บทบาท IAM คือหน่วยงาน IAM ที่กำหนดชุด สิทธิ์สำหรับการส่งคำขอบริการของ AWS บทบาท IAM ไม่เชื่อมโยงกับผู้ใช้หรือกลุ่มใดกลุ่มหนึ่ง แต่ในทางตรงกันข้าม หน่วยงานที่น่าเชื่อถือจะ ยอมรับบทบาท เช่น ผู้ใช้ IAM, แอปพลิเคชัน หรือบริการของ AWS เช่น EC2

ถาม: บทบาท IAM แก้ปัญหาในด้านใด
บทบาท IAM ช่วยให้คุณสามารถมอบหมายการเข้าถึงพร้อมสิทธิ์ที่กำหนดให้กับหน่วยงานที่น่าเชื่อถือโดยไม่ต้องแชร์คีย์การเข้าถึงระยะยาว คุณสามารถใช้บทบาท IAM เพื่อมอบหมายการเข้าถึงให้กับผู้ใช้ IAM ที่ถูกจัดการในบัญชีของคุณ ให้กับผู้ใช้ IAM ภายใต้บัญชี AWS ที่ต่างกัน หรือให้กับบริการของ AWS เช่น EC2

ถาม: ฉันจะเริ่มต้นใช้งานด้วยบทบาท IAM ได้อย่างไร
คุณสร้างบทบาทด้วยวิธีเดียวกันกับวิธีที่คุณสร้างผู้ใช้ ตั้งชื่อบทบาท และแนบนโยบายไปกับบทบาทนั้น สำหรับรายละเอียด ให้ดูการสร้างบทบาท IAM

ถาม: ฉันจะรับบทบาท IAM ได้อย่างไร
คุณสามารถรับบทบาท IAM ได้โดยเรียกใช้งาน AWS Security Token Service (STS) AssumeRole API (หรือเรียกว่า AssumeRole, AssumeRoleWithWebIdentity และ AssumeRoleWithSAML) API เหล่านี้จะส่งคืนชุดการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวที่แอปพลิเคชันสามารถใช้เพื่อลงชื่อคำขอให้กับ API บริการของ AWS ได้

ถาม: ฉันสามารถรับบทบาท IAM ได้กี่บทบาท
ไม่มีการจำกัดจำนวนบทบาท IAM ที่คุณสามารถรับได้ แต่คุณสามารถอยู่ในบทบาท IAM ได้เพียงหนึ่งบทบาทเมื่อส่งคำขอไปยังบริการของ AWS

ถาม: ใครสามารถใช้บทบาท IAM ได้บ้าง
ลูกค้า AWS ทุกคนสามารถใช้บทบาท IAM ได้

ถาม: บทบาท IAM มีค่าใช้จ่ายเท่าใด
ไม่มีค่าใช้จ่ายสำหรับบทบาท IAM คุณยังคงต้องชำระเงินสำหรับทรัพยากรที่บทบาทในบัญชี AWS ของคุณใช้

ถาม: บทบาท IAM ได้รับการจัดการอย่างไร
คุณสามารถสร้างและจัดการบทบาท IAM ผ่าน IAM API, AWS CLI หรือ IAM Console ซึ่งมีอินเทอร์เฟซแบบชี้และคลิกบนเว็บ

ถาม: บทบาท IAM และผู้ใช้ IAM แตกต่างกันอย่างไร
ผู้ใช้ IAM มีการยืนยันระยะยาวแบบถาวรและใช้เพื่อโต้ตอบกับบริการของ AWS โดยตรง บทบาท IAM ไม่มีการยืนยันและไม่สามารถส่งคำขอไปยังบริการของ AWS ได้โดยตรง บทบาท IAM ควรถูกรับโดยหน่วยงานที่ได้รับอนุญาต เช่น ผู้ใช้ IAM, แอปพลิเคชัน หรือบริการของ AWS เช่น EC2

ถาม: เมื่อใดที่ฉันควรใช้ผู้ใช้ IAM, กลุ่ม IAM หรือบทบาท IAM

ผู้ใช้ IAM มีการยืนยันระยะยาวแบบถาวรและใช้เพื่อโต้ตอบกับบริการของ AWS โดยตรง โดยหลัก กลุ่ม IAM คือความสะดวกสบายในการจัดการชุดสิทธิ์ชุดเดียวกันสำหรับชุดผู้ใช้ IAM บทบาท IAM คือหน่วยงาน AWS Identity and Access Management (IAM) ที่มีสิทธิ์ส่งคำขอบริการของ AWS บทบาท IAM ไม่สามารถส่งคำขอไปยังบริการของ AWS ได้โดยตรง บทบาทเหล่านี้ควรได้รับการยอมรับโดยหน่วยงานที่ได้รับอนุญาต เช่น ผู้ใช้ IAM, แอปพลิเคชัน หรือบริการของ AWS เช่น EC2 ใช้บทบาท IAM เพื่อมอบหมายการเข้าถึงภายในหรือระหว่างบัญชี AWS

ถาม: ฉันสามารถเพิ่มบทบาท IAM ไปยังกลุ่ม IAM ได้หรือไม่
ยังใช้ไม่ได้ในขณะนี้

ถาม: ฉันสามารถแนบนโยบายไปกับบทบาท IAM ได้กี่รายการ

สำหรับนโยบายผนวก: คุณสามารถเพิ่มนโยบายผนวกเท่าใดก็ได้ตามที่คุณต้องการให้แก่ผู้ใช้ บทบาท หรือกลุ่ม แต่ขนาดนโยบายโดยรวมทั้งหมด (ขนาดรวมของนโยบายผนวกทั้งหมด) ต่อหน่วยงานต้องไม่เกินขีดจำกัดต่อไปนี้:

  • ขนาดนโยบายผู้ใช้ห้ามเกิน 2,048 อักขระ
  • ขนาดนโยบายบทบาทห้ามเกิน 10,240 อักขระ
  • ขนาดนโยบายกลุ่มห้ามเกิน 5,120 อักขระ

สำหรับนโยบายที่ได้รับการจัดการ: คุณสามารถเพิ่มนโยบายที่ได้รับการจัดการให้แก่ผู้ใช้ บทบาท หรือกลุ่มได้สูงสุด 10 นโยบาย ขนาดของนโยบายที่ได้รับการจัดการแต่ละนโยบายห้ามเกิน 6,144 อักขระ

ถาม: ฉันสามารถสร้างบทบาท IAM ได้กี่บทบาท
ภายใต้บัญชี AWS คุณสามารถสร้างบทบาท IAM ได้ไม่เกิน 1,000 บทบาท หากคุณต้องการบทบาทเพิ่ม ให้ส่งแบบคำขอเพิ่มขีดจำกัด IAM พร้อมกรณีการใช้งาน แล้วเราจะพิจารณาคำขอของคุณ

ถาม: แอปพลิเคชันของฉันสามารถส่งคำขอไปยังบริการใดได้บ้าง
แอปพลิเคชันของคุณสามารถส่งคำขอไปยังบริการของ AWS ที่รองรับเซสชันบทบาททั้งหมด

ถาม: บทบาท IAM สำหรับอินสแตนซ์ EC2 คืออะไร
บทบาท IAM สำหรับอินสแตนซ์ EC2 ทำให้แอปพลิเคชันของคุณสามารถทำงานบน EC2 เพื่อส่งคำขอไปยังบริการของ AWS เช่น Amazon S3, Amazon SQS และ Amazon SNS โดยที่คุณไม่ต้องคัดลอกคีย์การเข้าถึง AWS ไปยังอินสแตนซ์ทุกรายการ สำหรับรายละเอียด ให้ดูบทบาท IAM สำหรับ Amazon EC2

ถาม: คุณสมบัติของบทบาท IAM สำหรับอินสแตนซ์ EC2 มีอะไรบ้าง

บทบาท IAM สำหรับอินสแตนซ์ EC2 ให้คุณสมบัติต่อไปนี้:

  • การยืนยันเพื่อรักษาความปลอดภัยชั่วคราว AWS เพื่อใช้เมื่อส่งคำขอจากอินสแตนซ์ EC2 ที่ทำงานอยู่ไปยังบริการของ AWS
  • การหมุนเวียนอัตโนมัติของการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว AWS
  • สิทธิ์บริการของ AWS แบบละเอียดสำหรับแอปพลิเคชันที่ใช้อินสแตนซ์ EC2

ถาม: บทบาท IAM สำหรับอินสแตนซ์ EC2 ช่วยแก้ปัญหาด้านใด
บทบาท IAM สำหรับอินสแตนซ์ EC2 ช่วยทำให้การจัดการและการนำคีย์การเข้าถึง AWS ไปใช้กับอินสแตนซ์ EC2 ได้ง่ายขึ้น การใช้คุณสมบัตินี้ คุณต้องเชื่อมโยงบทบาท IAM กับอินสแตนซ์ จากนั้นอินสแตนซ์ EC2 ของคุณจะให้การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวแก่แอปพลิเคชันที่ทำงานบนอินสแตนซ์ และแอปพลิเคชันสามารถใช้การยืนยันเหล่านี้ส่งคำขอได้อย่างปลอดภัยไปยังทรัพยากรบริการของ AWS ที่กำหนดไว้ในบทบาท

ถาม: ฉันจะเริ่มต้นใช้งานด้วยบทบาท IAM สำหรับอินสแตนซ์ EC2 ได้อย่างไร
เพื่อให้เข้าใจวิธีการงานของบทบาทด้วยอินสแตนซ์ EC2 คุณต้องใช้ IAM Console เพื่อสร้างบทบาท เรียกใช้งานอินสแตนซ์ EC2 ที่ใช้บทบาทนั้น แล้วตรวจสอบอินสแตนซ์ที่กำลังทำงานอยู่ คุณสามารถตรวจสอบเมตาดาต้าอินสแตนซ์เพื่อดูว่าการยืนยันบทบาทมีในอินสแตนซ์ได้อย่างไร คุณยังสามารถดูวิธีที่แอปพลิเคชันที่ทำงานบนอินสแตนซ์สามารถใช้บทบาทนั้นได้อีกด้วย สำหรับรายละเอียดเพิ่มเติม ให้ดูฉันจะเริ่มต้นใช้งานได้อย่างไร

ถาม: ฉันสามารถใช้บทบาท IAM เดียวกันบนอินสแตนซ์ EC2 หลายอันได้หรือไม่
ได้

ถาม: ฉันสามารถเปลี่ยนบทบาท IAM บนอินสแตนซ์ EC2 ที่กำลังทำงานอยู่ได้หรือไม่
ได้ แม้ว่าโดยปกติแล้วจะกำหนดบทบาทให้กับอินสแตนซ์ EC2 เมื่อคุณเรียกใช้อินสแตนซ์ แต่คุณสามารถกำหนดบทบาทให้กับอินสแตนซ์ EC2 ที่กำลังทำงานอยู่ได้ หากต้องการเรียนรู้วิธีกำหนดบทบาทให้กับอินสแตนซ์ที่กำลังทำงานอยู่ ให้ดูบทบาท IAM สำหรับ Amazon EC2 คุณยังสามารถเปลี่ยนสิทธิ์ของบทบาท IAM ที่เชื่อมโยงกับอินสแตนซ์ที่กำลังทำงานอยู่ และสิทธิ์ที่อัปเดตจะมีผลเกือบทันที 

ถาม: ฉันสามารถเชื่อมโยงบทบาท IAM บนอินสแตนซ์ EC2 ที่กำลังทำงานอยู่ได้หรือไม่
ได้ คุณสามารถกำหนดบทบาทให้กับอินสแตนซ์ EC2 ที่กำลังทำงานอยู่ได้ หากต้องการเรียนรู้วิธีกำหนดบทบาทให้กับอินสแตนซ์ที่กำลังทำงานอยู่แล้ว ให้ดูบทบาท IAM สำหรับ Amazon EC2

ถาม: ฉันสามารถเชื่อมโยงบทบาท IAM เข้ากับกลุ่ม Auto Scaling ได้หรือไม่

ได้ คุณสามารถเพิ่มบทบาท IAM เป็นพารามิเตอร์เพิ่มเติมในการกำหนดค่าการเรียกใช้ Auto Scaling แล้วสร้าง Auto Scaling group ด้วยการกำหนดค่าการเรียกใช้นั้น อินสแตนซ์ EC2 ทั้งหมดที่ถูกเรียกใช้ใน Auto Scaling group ที่เชื่อมโยงกับบทบาท IAM จะถูกเรียกใช้ด้วยบทบาทเป็นพารามิเตอร์อินพุต ดูรายละเอียดเพิ่มเติมได้ที่ Auto Scaling คืออะไร ในคู่มือ Auto Scaling สำหรับ Developer

ถาม: ฉันสามารถเชื่อมโยงบทบาท IAM มากกว่าหนึ่งบทบาทกับอินสแตนซ์ EC2 ได้หรือไม่
ไม่ได้ ในตอนนี้คุณสามารถเชื่อมโยงบทบาท IAM กับอินสแตนซ์ EC2 ได้เพียงหนึ่งบทบาทเท่านั้น ขีดจำกัดหนึ่งบทบาทต่ออินสแตนซ์ไม่สามารถเพิ่มได้

ถาม: จะเกิดอะไรขึ้นหากฉันลบบทบาท IAM ที่เชื่อมโยงกับอินสแตนซ์ EC2 ที่กำลังทำงานอยู่
แอปพลิเคชันใดๆ ก็ตามที่กำลังทำงานอินสแตนซ์ที่ใช้บทบาทจะถูกปฏิเสธการเข้าถึงทันที

ถาม: ฉันสามารถควบคุมได้หรือไม่ว่าจะให้บทบาท IAM ใดบ้างที่ผู้ใช้ IAM สามารถเชื่อมโยงกับอินสแตนซ์ EC2 ได้
ได้ สำหรับรายละเอียด ให้ดูสิทธิ์ที่จำเป็นสำหรับการใช้บทบาทกับ Amazon EC2

ถาม: สิทธิ์ใดที่จำเป็นต้องใช้เพื่อเรียกใช้อินสแตนซ์ EC2 ด้วยบทบาท IAM
คุณต้องมอบสิทธิ์สองสิทธิ์ที่แตกต่างกันให้กับผู้ใช้ IAM เพื่อให้สามารถเรียกใช้อินสแตนซ์ EC2 ด้วยบทบาทได้โดยสมบูรณ์ดังนี้:

  • สิทธิ์ในการเรียกใช้อินสแตนซ์ EC2
  • สิทธิ์ในการเชื่อมโยงบทบาท IAM กับอินสแตนซ์ EC2

สำหรับรายละเอียด ให้ดูสิทธิ์ที่จำเป็นสำหรับการใช้บทบาทกับ Amazon EC2

ถาม: ใครบ้างที่สามารถเข้าถึงคีย์การเข้าถึงบนอินสแตนซ์ EC2 ได้
ผู้ใช้เครื่องบนอินสแตนซ์สามารถเข้าถึงคีย์การเข้าถึงที่เชื่อมโยงกับบทบาท IAM ได้

ถาม: ฉันสามารถใช้บทบาท IAM ด้วยแอปพลิเคชันบนอินสแตนซ์ EC2 ได้อย่างไร
หากคุณพัฒนาแอปพลิเคชันด้วย AWS SDK นั่นหมายความว่า AWS SDK จะใช้คีย์การเข้าถึง AWS ที่มีให้ใช้งานบนอินสแตนซ์ EC2 โดยอัตโนมัติ หากคุณไม่ได้ใช้ AWS SDK คุณสามารถเรียกคืนคีย์การเข้าถึงจากบริการเมตาดาต้าอินสแตนซ์ EC2 สำหรับรายละเอียด ให้ดูการใช้บทบาท IAM เพื่อมอบสิทธิ์ให้แอปพลิเคชันที่ทำงานบนอินสแตนซ์ Amazon EC2

ถาม: ฉันจะหมุนเวียนการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวบนอินสแตนซ์ EC2 ได้อย่างไร
การยืนยันเพื่อรักษาความปลอดภัยชั่วคราว AWS ที่เชื่อมโยงกับบทบาท IAM จะหมุนเวียนหลายครั้งในหนึ่งวันโดยอัตโนมัติ การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวใหม่จะมีให้ใช้งานไม่เกินห้านาทีก่อนการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวที่มีอยู่จะหมดอายุ

ถาม: ฉันสามารถใช้บทบาท IAM สำหรับอินสแตนซ์ EC2 กับอินสแตนซ์ประเภทต่างๆ หรือ Amazon Machine Image ได้หรือไม่
ได้ บทบาท IAM สำหรับอินสแตนซ์ EC2 ยังสามารถทำงานได้ใน Amazon Virtual Private Cloud (VPC) ที่มี Spot และอินสแตนซ์ที่เก็บรักษา

ถาม: บทบาทที่เชื่อมต่อกับบริการคืออะไร
บทบาทที่เชื่อมต่อกับบริการคือประเภทของบทบาทที่เชื่อมต่อกับบริการของ AWS (หรือเรียกว่าบริการที่เชื่อมต่อ) โดยที่บริการที่เชื่อมต่อเท่านั้นสามารถรับบทบาทได้ การใช้บทบาทเหล่านี้ คุณสามารถมอบหมายสิทธิ์ให้กับบริการของ AWS เพื่อสร้างและจัดการทรัพยากร AWS ในชื่อของคุณได้

ถาม: ฉันสามารถยอมรับบทบาทที่เชื่อมต่อกับบริการได้หรือไม่
ไม่ได้ บทบาทที่เชื่อมต่อกับบริการสามารถรับได้จากบริการที่เชื่อมต่อเท่านั้น นี่คือสาเหตุที่ไม่สามารถปรับแก้นโยบายความน่าเชื่อถือของบทบาทที่เชื่อมต่อกับบริการได้

ถาม: ฉันสามารถลบบทบาทที่เชื่อมต่อกับบริการได้หรือไม่
ได้ หากคุณไม่ต้องการให้บริการของ AWS ดำเนินการกระทำในชื่อของคุณ คุณสามารถลบบทบาทที่เชื่อมต่อบริการของบริการนี้ได้ ก่อนที่คุณจะลบบทบาท คุณต้องลบทรัพยากร AWS ทั้งหมดที่พึ่งพาบทบาทนั้น ขั้นตอนนี้ทำให้แน่ใจว่าคุณไม่ได้ลบบทบาทที่ทรัพยากร AWS ของคุณต้องใช้เพื่อให้ทำงานได้อย่างเหมาะสมโดยไม่ตั้งใจ

ถาม: ฉันสามารถลบบทบาทที่เชื่อมต่อกับบริการได้อย่างไร
คุณสามารถบทบาทที่เชื่อมต่อกับบริการจาก IAM Console เลือกบทบาทในบานหน้าต่างการนำทาง ให้เลือกบทบาทที่เชื่อมต่อกับบริการที่คุณต้องการลบ แล้วเลือกลบบทบาท (หมายเหตุ: สำหรับAmazon Lex คุณต้องใช้ Amazon Lex Console เพื่อลบบทบาทที่เชื่อมต่อกับบริการ)


ถาม: สิทธิ์ทำงานอย่างไร

นโยบายควบคุมการเข้าถึงจะถูกแนบไปกับผู้ใช้ กลุ่ม และบทบาทเพื่อกำหนดสิทธิ์ให้กับทรัพยากร AWS ตามค่าเริ่มต้น ผู้ใช้ กลุ่ม และบทบาท IAM จะยังไม่มีสิทธิ์ โดยผู้ใช้ที่มีสิทธิ์เพียงพอจะต้องใช้นโยบายเพื่อมอบสิทธิ์ที่ต้องการ

ถาม: ฉันสามารถกำหนดสิทธิ์โดยใช้นโยบายได้อย่างไร

หากต้องการกำหนดสิทธิ์ คุณสามารถสร้างและแนบนโยบายโดยใช้ AWS Management Console, IAM API หรือ AWS CLI ได้ ผู้ใช้ที่ได้รับมอบสิทธิ์ที่จำเป็นสามารถสร้างนโยบายและมอบให้กับผู้ใช้ กลุ่ม และบทบาท IAM

ถาม: นโยบายที่ได้รับการจัดการคืออะไร

นโยบายที่ได้รับการจัดการคือทรัพยากร IAM ที่แสดงสิทธิ์โดยใช้ภาษานโยบาย IAM คุณสามารถสร้าง แก้ไข และจัดการแบบแยกส่วนจากผู้ใช้ กลุ่ม และบทบาท IAM ที่แนบอยู่กับนโยบายได้ หลังจากคุณแนบนโยบายที่ได้รับการจัดการไปยังผู้ใช้ กลุ่ม หรือบทบาท IAM หลายรายการแล้ว คุณจะสามารถอัปเดตนโยบายนั้นในจุดเดียว และสิทธิ์จะขยายไปยังหน่วยงานทั้งหมดที่ถูกแนบโดยอัตโนมัติ นโยบายที่ได้รับการจัดการจะถูกจัดการโดยคุณ (นโยบายเหล่านี้เรียกว่านโยบายที่ลูกค้าจัดการ) หรือโดย AWS (นโยบายเหล่านี้เรียกว่านโยบายที่ AWS จัดการ) สำหรับข้อมูลเพิ่มเติมเกี่ยวกับนโยบายที่ได้รับการจัดการ ให้ดูนโยบายที่ได้รับการจัดการและนโยบายผนวก

ถาม: ฉันสามารถสร้างนโยบายที่ลูกค้าจัดการได้อย่างไร

คุณสามารถใช้ Visual Editor หรือ JSON Editor ใน IAM Console ได้ Visual Editor คือตัวแก้ไขแบบชี้และคลิกที่นำทางคุณผ่านกระบวนการการมอบสิทธิ์ในนโยบายโดยที่คุณไม่จำเป็นต้องเขียนนโยบายใน JSON คุณสามารถสร้างนโยบายใน JSON โดยใช้ CLI และ SDK

ถาม: ฉันสามารถกำหนดสิทธิ์ที่ใช้งานบ่อยๆ ได้อย่างไร

AWS มอบชุดสิทธิ์ที่ใช้งานบ่อยๆ ที่คุณสามารถแนบไปยังผู้ใช้ กลุ่ม และบทบาท IAM ในบัญชีของคุณได้ ทั้งหมดนี้เรียกว่านโยบายที่ AWS จัดการ อีกหนึ่งตัวอย่างคือการเข้าถึงแบบอ่านเท่านั้นสำหรับ Amazon S3 เมื่อ AWS อัปเดตนโยบายเหล่านี้ สิทธิ์จะปรับใช้กับผู้ใช้ กลุ่ม และบทบาทที่แนบนโยบายโดยอัตโนมัติ นโยบายที่ AWS จัดการจะปรากฏในส่วนนโยบายของ IAM Console โดยอัตโนมัติ เมื่อคุณกำหนดสิทธิ์ คุณสามารถใช้นโยบายที่ AWS จัดการหรือคุณสามารถสร้างนโยบายที่ลูกค้าจัดการของคุณเองได้ สร้างนโยบายใหม่ตามนโยบายที่ AWS จัดการที่มีอยู่ หรือกำหนดด้วยตัวคุณเอง

ถาม: สิทธิ์แบบกลุ่มทำงานอย่างไร

ใช้กลุ่ม IAM เพื่อกำหนดสิทธิ์ชุดเดียวกันให้กับผู้ใช้ IAM หลายราย ผู้ใช้ยังสามารถมีสิทธิ์แยกที่ถูกกำหนดให้กับพวกเขาอีกด้วย วิธีแนบสิทธิ์ให้กับผู้ใช้สองวิธีทำงานร่วมกันเพื่อกำหนดสิทธิ์โดยรวม

ถาม: การกำหนดสิทธิ์โดยใช้กลุ่ม IAM และการกำหนดสิทธิ์โดยใช้นโยบายที่ได้รับการจัดการมีความแตกต่างกันอย่างไร

ใช้กลุ่ม IAM เพื่อรวบรวมผู้ใช้ IAM และระบุสิทธิ์ทั่วไปสำหรับผู้ใช้ ใช้นโยบายที่ได้รับการจัดการเพื่อแชร์สิทธิ์ไปที่ผู้ใช้ กลุ่ม และบทบาท IAM ทั้งหมด ตัวอย่างเช่น หากคุณต้องการให้ผู้ใช้กลุ่มหนึ่งสามารถเรียกใช้อินสแตนซ์ Amazon EC2 ได้ และคุณยังต้องการให้บทบาทบนอินสแตนซ์นั้นมีสิทธิ์เดียวกันกับผู้ใช้ในกลุ่ม คุณสามารถสร้างนโยบายที่ได้รับการจัดการแล้วกำหนดนโยบายนี้ให้กับกลุ่มผู้ใช้และบทบาทบนอินสแตนซ์ Amazon EC2 ได้

ถาม: นโยบาย IAM ได้รับการประเมินร่วมกับนโยบายแบบทรัพยากร Amazon S3, Amazon SQS, Amazon SNS และ AWS KMS อย่างไร

นโยบาย IAM ได้รับการประเมินพร้อมกับนโยบายแบบทรัพยากรของบริการ เมื่อนโยบายประเภทใดๆ ก็ตามมอบสิทธิ์การเข้าถึง (โดยไม่ถูกปฏิเสธ) หมายความว่าการกระทำจะได้รับอนุญาต สำหรับข้อมูลเพิ่มเติมเกี่ยวกับตรรกะการประเมินนโยบาย ให้ดูตรรกะการประเมินนโยบาย IAM 

ถาม: ฉันสามารถใช้นโยบายที่ได้รับการจัดการเป็นนโยบายแบบทรัพยากรได้หรือไม่

สามารถแนบนโยบายที่ได้รับการจัดการไปยังผู้ใช้ กลุ่ม หรือบทบาท IAM เท่านั้น คุณไม่สามารถใช้นโยบายเหล่านี้เป็นนโยบายแบบทรัพยากรได้

ถาม: ฉันจะกำหนดสิทธิ์แบบละเอียดโดยใช้นโยบายได้อย่างไร

การใช้นโยบายจะทำให้คุณสามารถระบุชั้นความละเอียดของสิทธิ์หลายๆ ชั้นได้ ข้อที่หนึ่ง คุณสามารถกำหนดการกระทำแบบเฉพาะเจาะจงของบริการของ AWS ที่คุณต้องการอนุญาตหรือปฏิเสธการเข้าถึงโดยชัดเจน ข้อที่สอง คุณสามารถกำหนดการกระทำที่สามารถทำได้ให้กับทรัพยากร AWS แบบเฉพาะเจาะจง ทั้งนี้ขึ้นอยู่กับการกระทำ ข้อที่สาม คุณสามารถกำหนดเงื่อนไขเพื่อระบุว่าเมื่อใดนโยบายจึงจะมีผลบังคับใช้ (ตัวอย่างเช่น หาก MFA เปิดหรือปิดใช้งาน)

ถาม: ฉันจะสามารถลบสิทธิ์ที่ไม่จำเป็นได้อย่างไร

เพื่อช่วยคุณระบุว่าสิทธิ์ใดบ้างที่จำเป็น ปัจจุบัน IAM Console จึงสามารถแสดงข้อมูลการเข้าใช้บริการครั้งล่าสุดที่แสดงชั่วโมงเมื่อหน่วยงาน IAM (ผู้ใช้ กลุ่ม หรือบทบาท) เข้าใช้บริการของ AWS ครั้งล่าสุด การทราบว่าหน่วยงาน IAM ใช้สิทธิ์หรือไม่และใช้ครั้งล่าสุดเมื่อใดสามารถช่วยคุณลบสิทธิ์ที่ไม่จำเป็นออกและจัดระเบียบนโยบาย IAM ของคุณได้ง่ายขึ้น

ถาม: ฉันสามารถมอบสิทธิ์เพื่อเข้าถึงหรือเปลี่ยนข้อมูลระดับบัญชี (ตัวอย่างเช่น เครื่องมือในการชำระเงิน ที่อยู่อีเมลสำหรับติดต่อ และประวัติการเรียกเก็บเงิน) ได้หรือไม่

ได้ คุณสามารถมอบหมายความสามารถนี้ให้กับผู้ใช้ IAM หรือผู้ใช้ที่เชื่อมโยงเพื่อดูข้อมูลการเรียกเก็บเงิน AWS และปรับแก้ข้อมูลบัญชี AWS สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการควบคุมการเข้าถึงข้อมูลการเรียกเก็บเงินของคุณ ให้ดูการควบคุมการเข้าถึง

ถาม: ใครสามารถสร้างและจัดการคีย์การเข้าถึงในบัญชี AWS ได้บ้าง

เฉพาะเจ้าของบัญชี AWS เท่านั้นที่สามารถจัดการคีย์การเข้าถึงสำหรับบัญชีรากได้ เจ้าของบัญชีและผู้ใช้หรือบทบาท IAM ที่ได้รับสิทธิ์ที่จำเป็นสามารถจัดการคีย์การเข้าถึงสำหรับผู้ใช้ IAM ได้

ถาม: ฉันสามารถมอบสิทธิ์เพื่อเข้าถึงทรัพยากร AWS ที่บัญชี AWS อื่นเป็นเจ้าของได้หรือไม่
ได้ การใช้บทบาท IAM ผู้ใช้ IAM และผู้ใช้ที่เชื่อมโยงสามารถเข้าถึงทรัพยากรในบัญชี AWS อื่นผ่าน AWS Management Console, AWS CLI หรือ API ได้ ดูข้อมูลเพิ่มเติมที่จัดการบทบาท IAM

ถาม: นโยบายมีลักษณะอย่างไร

นโยบายต่อไปนี้มอบการเข้าถึงเพื่อเพิ่ม อัปเดต และลบออบเจ็กต์ออกจากโฟลเดอร์ที่ระบุ, example_folder, ในบัคเก็ตที่ระบุ, example_bucket

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

ถาม: การสรุปนโยบายคืออะไร

หากคุณกำลังใช้ IAM Console และเลือกนโยบาย คุณจะเห็นการสรุปนโยบาย การสรุปนโยบายแสดงระดับการเข้าถึง ทรัพยากร และเงื่อนไขสำหรับบริการแต่ละรายการที่ระบุไว้ในนโยบาย (ดูตัวอย่างที่ภาพถ่ายหน้าจอต่อไปนี้) ระดับการเข้าถึง (ดู อ่าน เขียน หรือการจัดการสิทธิ์) ถูกกำหนดโดยการกระทำที่มอบให้กับบริการแต่ละรายการในนโยบาย คุณสามารถดูนโยบายใน JSON โดยเลือกปุ่ม JSON

ภาพถ่ายหน้าจอการสรุปนโยบาย

ถาม: ตัวจำลองนโยบาย IAM คืออะไร
ตัวจำลองนโยบาย IAM เป็นเครื่องมือเพื่อช่วยให้คุณเข้าใจ ทดสอบ และตรวจสอบผลกระทบของนโยบายการควบคุมการเข้าถึงได้

ถาม: สามารถใช้ตัวจำลองนโยบายทำอะไรได้บ้าง
คุณสามารถใช้ตัวจำลองนโยบายทำสิ่งต่างๆ ได้มากมาย คุณสามารถทดสอบการเปลี่ยนนโยบายเพื่อตรวจสอบให้แน่ใจว่าการเปลี่ยนให้ผลตามที่ต้องการก่อนส่งให้การผลิต คุณสามารถตรวจสอบนโยบายที่มีอยู่ที่แนบไปกับผู้ใช้ กลุ่ม และบทบาทเพื่อตรวจสอบและแก้ไขปัญหาสิทธิ์ คุณยังสามารถใช้ตัวจำลองนโยบายเพื่อทำความเข้าใจวิธีการทำงานร่วมกันระหว่างนโยบาย IAM และนโยบายแบบทรัพยากรเพื่อมอบหรือปฏิเสธการเข้าถึงทรัพยากร AWS

ถาม: ใครสามารถใช้ตัวจำลองนโยบายได้บ้าง
ลูกค้า AWS ทุกคนสามารถใช้งานตัวจำลองนโยบายได้

ถาม: ตัวจำลองนโยบายราคาเท่าใด
มีตัวจำลองนโยบายให้ใช้งานโดยไม่คิดค่าใช้จ่ายเพิ่มเติม

ถาม: ฉันจะเริ่มต้นใช้งานได้อย่างไร
ไปที่ https://policysim.aws.amazon.com หรือคลิกลิงก์บน IAM Console ใต้ “ข้อมูลเพิ่มเติม” ระบุนโยบายใหม่หรือเลือกชุดนโยบายที่มีอยู่จากผู้ใช้ กลุ่ม หรือบทบาทที่คุณต้องการประเมิน จากนั้นเลือกชุดการกระทำจากรายการบริการของ AWS ใส่ข้อมูลที่จำเป็นเพื่อจำลองคำขอการเข้าถึง แล้วเรียกใช้การจำลองเพื่อดูว่านโยบายอนุญาตหรือปฏิเสธสิทธิ์ของการกระทำและทรัพยากรที่เลือก หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับตัวจำลองนโยบาย IAM ให้ดูวิดีโอการเริ่มต้นใช้งานหรือดูเอกสาร

ถาม: นโยบายประเภทใดบ้างที่ตัวจำลองนโยบาย IAM รองรับ
ตัวจำลองนโยบายรองรับการทดสอบนโยบายที่เข้ามาใหม่และนโยบายที่มีอยู่ที่แนบกับผู้ใช้ กลุ่ม หรือบทบาท นอกจากนี้ คุณยังสามารถจำลองได้ว่าจะให้นโยบายระดับทรัพยากรมอบการเข้าถึงให้กับทรัพยากรที่เฉพาะเจาะจงสำหรับบัคเก็ต Amazon S3, ชุดเก็บข้อมูลประจำตัว Amazon Glacier, หัวข้อ Amazon SNS และคิว Amazon SQS ซึ่งรวมอยู่ในการจำลองเมื่อมีการระบุ Amazon Resource Name (ARN) ในช่องทรัพยากรในการตั้งค่าการจำลองสำหรับบริการที่รองรับนโยบายทรัพยากร

ถาม: หากฉันเปลี่ยนนโยบายในตัวจำลองนโยบาย การเปลี่ยนแปลงเหล่านี้ยังคงอยู่ในการผลิตหรือไม่
ไม่ หากต้องปรับใช้การเปลี่ยนแปลงที่การผลิต ให้คัดลอกนโยบายที่คุณได้ปรับแก้ในตัวจำลองนโยบายแล้วแนบไปที่ผู้ใช้ กลุ่ม หรือบทบาท IAM ที่ต้องการ

ถาม: ฉันสามารถใช้ตัวจำลองนโยบายแบบกำหนดโดยโปรแกรมได้หรือไม่
ได้ คุณสามารถใช้ตัวจำลองนโยบายโดยใช้ AWS SDK หรือ AWS CLI นอกเหนือจาก Console ตัวจำลองนโยบายได้ ใช้ iam:SimulatePrincipalPolicy API เพื่อทดสอบนโยบาย IAM ที่มีอยู่แบบกำหนดด้วยโปรแกรม หากต้องการทดสอบผลกระทบของนโยบายใหม่หรือที่อัปเดตแล้วซึ่งยังไม่ได้แนบไปกับผู้ใช้ กลุ่ม หรือบทบาท ให้เรียกใช้ iam:SimulateCustomPolicy API  


ถาม: ผู้ใช้ IAM ลงชื่อเข้าใช้อย่างไร

หากต้องการลงชื่อเข้าใช้ AWS Management Console ในฐานะผู้ใช้ IAM คุณต้องให้ ID บัญชีหรือนามแฝงบัญชีพร้อมกับชื่อผู้ใช้และรหัสผ่าน เมื่อผู้ดูแลระบบของคุณสร้างผู้ใช้ IAM ใน Console คุณควรได้รับชื่อผู้ใช้และ URL ไปยังหน้าลงชื่อเข้าใช้บัญชีของคุณ URL นั้นจะมี ID บัญชีหรือนามแฝงบัญชี

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

คุณยังสามารถลงชื่อเข้าใช้ตำแหน่งข้อมูลการลงชื่อเข้าใช้ทั่วไปต่อไปนี้ แล้วป้อน ID บัญชีหรือนามแฝงบัญชีด้วยตัวเอง:

https://console.aws.amazon.com/

เพื่อความสะดวก หน้าลงชื่อเข้าใช้ของ AWS ใช้คุกกี้เบราว์เซอร์เพื่อจดจำชื่อผู้ใช้และข้อมูลบัญชี IAM ครั้งต่อไปหากผู้ใช้ไปยังหน้าใดๆ ใน AWS Management Console Console จะใช้คุกกี้เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าลงชื่อเข้าใช้บัญชี

หมายเหตุ: ผู้ใช้ IAM ยังคงสามารถใช้ลิงก์ URL ที่ผู้ดูแลระบบมอบให้เพื่อลงชื่อเข้าใช้ AWS Management Console ได้

ถาม: นามแฝงบัญชี AWS คืออะไร

นามแฝงบัญชีคือชื่อที่คุณกำหนดเพื่อให้สามารถระบุบัญชีของคุณได้สะดวกขึ้น คุณสามารถสร้างนามแฝงโดยใช้ IAM API, AWS Command Line Tools หรือ IAM Console คุณสามารถมีนามแฝงได้หนึ่งชื่อต่อบัญชี AWS

ถาม: ไซต์ AWS ใดบ้างที่ผู้ใช้ IAM สามารถเข้าถึงได้

ผู้ใช้ IAM สามารถลงชื่อเข้าใช้ไซต์ AWS ต่อไปนี้:

ถาม: ผู้ใช้ IAM สามารถลงชื่อเข้าใช้คุณสมบัติอื่นๆ ของ Amazon.com ด้วยการยืนยันของพวกเขาได้หรือไม่
ไม่ ผู้ใช้ที่สร้างด้วย IAM จะถูกจดจำโดยบริการและแอปพลิเคชัน AWS เท่านั้น

ถาม: มี API การรับรองความถูกต้องเพื่อตรวจสอบการลงชื่อเข้าใช้ของผู้ใช้ IAM หรือไม่
ไม่ ไม่มีวิธีสำหรับตรวจสอบการลงชื่อเข้าใช้ของผู้ใช้ที่ทางโปรแกรม

ถาม: ผู้ใช้อินสแตนซ์ SSH ถึง EC2 สามารถใช้ชื่อผู้ใช้และรหัสผ่าน AWS ของพวกเขาได้หรือไม่
ไม่ได้ ระบบไม่รองรับการยืนยันเพื่อรักษาความปลอดภัยของผู้ใช้สำหรับการรับรองความถูกต้องโดยตรงไปยังอินสแตนซ์ EC2 ของลูกค้า การจัดการการยืนยัน EC2 SSH ถือเป็นความรับผิดชอบของลูกค้าภายใน EC2 Console


ถาม: การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวคืออะไร
การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวประกอบด้วย ID คีย์การเข้าถึง AWS, คีย์ลับการเข้าถึง และโทเค็นความปลอดภัย การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวสามารถใช้งานได้ในระยะเวลาที่กำหนดและสำหรับชุดสิทธิ์ที่กำหนดเท่านั้น บางครั้งการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวก็ถูกเรียกว่าโทเค็น สามารถขอโทเค็นสำหรับผู้ใช้ IAM หรือสำหรับผู้ใช้ที่เชื่อมโยงที่คุณจัดการในไดเรกทอรีบริษัทของคุณได้ สำหรับข้อมูลเพิ่มเติม ให้ดูสถานการณ์ทั่วไปสำหรับการยืนยันชั่วคราว

ถาม: ประโยชน์ของการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวมีอะไรบ้าง
การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวทำให้คุณสามารถทำสิ่งต่างๆ ต่อไปนี้ได้:

  • ขยายไดเรกทอรีผู้ใช้ภายในของคุณเพื่อให้สามารถเชื่อมโยงได้กับ AWS และทำให้พนักงานและแอปพลิเคชันของคุณเข้าถึง API บริการของ AWS ได้อย่างปลอดภัยโดยไม่ต้องสร้างข้อมูลประจำตัว AWS ให้กับพนักงานและแอปพลิเคชัน
  • ขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวได้ไม่จำกัดจำนวนครั้งสำหรับผู้ใช้ที่เชื่อมโยง
  • กำหนดระยะเวลาหลังจากการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวหมดอายุ เสนอการรักษาความปลอดภัยที่ได้รับการปรับปรุงเมื่อเข้าถึง API บริการของ AWS ผ่านอุปกรณ์มือถือที่มีโอกาสเสี่ยงต่อการสูญหาย

ถาม: ฉันสามารถขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวสำหรับผู้ใช้ที่เชื่อมโยงได้อย่างไร
คุณสามารถเรียกใช้ API ของ STS อย่าง GetFederationToken, AssumeRole, AssumeRoleWithSAML หรือ AssumeRoleWithWebIdentity ได้

ถาม: ผู้ใช้ IAM สามารถขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวเพื่อนำมาใช้เองได้อย่างไร
ผู้ใช้ IAM สามารถขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวเพื่อนำมาใช้เองโดยเรียกใช้ AWS STS GetSessionToken API เวลาหมดอายุตามค่าเริ่มต้นของการยืนยันชั่วคราวเหล่านี้คือ 12 ชั่วโมง โดยระยะเวลาขั้นต่ำอยู่ที่ 15 นาที และสูงสุดอยู่ที่ 36 ชั่วโมง

คุณยังสามารถใช้การยืนยันชั่วคราวที่มี การเข้าถึง API ที่ได้รับการป้องกันด้วย Multi-Factor Authentication (MFA)

ถาม: ฉันสามารถใช้การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวเพื่อเรียกใช้ API บริการของ AWS ได้อย่างไร
หากคุณส่งคำขอ HTTPS API ไปยัง AWS โดยตรง คุณสามารถลงชื่อคำขอเหล่านั้นด้วยการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวที่คุณได้รับจาก AWS Security Token Service (AWS STS) ให้ทำตามดังนี้:

  • ใช้ ID คีย์การเข้าถึงและคีย์ลับการเข้าถึงที่ได้รับพร้อมกับการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว โดยลงชื่อแบบเดียวกันกับวิธีลงชื่อคำขอโดยใช้การยืนยันระยะยาว สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการลงชื่อคำขอ HTTPS API ให้ดูการลงชื่อคำขอ AWS API ในข้อมูลอ้างอิงทั่วไปของ AWS
  • ใช้โทเค็นเซสชันที่ได้รับพร้อมกับการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว รวมโทเค็นเซสชันไว้ในส่วนหัว "x-amz-security-token" ดูตัวอย่างคำขอต่อไปนี้
    • สำหรับ Amazon S3 ผ่านส่วนหัว HTTP "x-amz- security-token" 
    • สำหรับบริการของ AWS อื่นๆ ผ่านพารามิเตอร์ SecurityToken

ถาม: บริการ AWS ใดบ้างที่ยอมรับการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว
สำหรับรายชื่ออุปกรณ์ที่รองรับ ให้ดูบริการของ AWS ที่ใช้งานได้กับ IAM

ถาม: ขนาดสูงสุดของนโยบายการเข้าถึงที่ฉันสามารถระบุได้เมื่อส่งคำขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวคือเท่าใด (GetFederationToken หรือ AssumeRole)
ข้อความธรรมดานโยบายต้องมีขนาดไม่เกิน 2048 ไบต์ อย่างไรก็ตามการแปลงภายในจะบีบอัดให้อยู่ในรูปแบบไบนารีขนาดเล็กที่มีขีดจำกัดแยกจากกัน

ถาม: สามารถถอนการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวก่อนวันหมดอายุได้หรือไม่
ไม่ได้ เมื่อส่งคำขอการยืนยันชั่วคราว เราแนะนำให้ปฏิบัติดังต่อไปนี้

  • เมื่อสร้างการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว ให้ตั้งค่าวันหมดอายุตามความเหมาะสมสำหรับแอปพลิเคชันของคุณ
  • เนื่องจากไม่สามารถจำกัดสิทธิ์บัญชีรากได้ ให้ใช้ผู้ใช้ IAM และห้ามใช้บัญชีรากเพื่อสร้างการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว คุณสามารถถอนสิทธิ์ของผู้ใช้ IAM ที่เป็นผู้ออกการเรียกใช้ดั้งเดิมเพื่อส่งคำขอ การกระทำนี้เกือบเป็นการถอนสิทธิ์การใช้งานสำหรับการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวทั้งหมดที่ออกโดยผู้ใช้ IAM คนนั้น

ถาม: ฉันสามารถเปิดใช้งานใหม่หรือขยายวันหมดอายุของการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวได้หรือไม่
ไม่ได้ การตรวจสอบวันหมดอายุอยู่เสมอและส่งคำขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวใหม่ก่อนการยืนยันเก่าหมดอายุถือเป็นแนวทางการปฏิบัติที่ดี กระบวนการหมุนเวียนนี้ได้รับการจัดการโดยอัตโนมัติสำหรับคุณเมื่อใช้การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวในบทบาทสำหรับอินสแตนซ์ EC2

ถาม: การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวรองรับในทุกภูมิภาคหรือไม่
ลูกค้าสามารถส่งคำขอโทเค็นจากตำแหน่งข้อมูล AWS STS ในทุกภูมิภาค รวมทั้งภูมิภาค AWS GovCloud (US) และจีน (ปักกิ่ง) สามารถใช้การยืนยันชั่วคราวจาก AWS GovCloud (US) และจีน (ปักกิ่ง) ในภูมิภาคที่ออกการยืนยันเหล่านี้เท่านั้น การยืนยันชั่วคราวที่ขอจากภูมิภาคอื่นๆ เช่น สหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียเหนือ) หรือสหภาพยุโรป (ไอร์แลนด์) จะสามารถใช้ได้ในทุกภูมิภาค ยกเว้น AWS GovCloud (US) และจีน (ปักกิ่ง)

ถาม: ฉันสามารถจำกัดการใช้การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวให้กับภูมิภาคหรือภูมิภาคย่อยได้หรือไม่

ไม่ คุณไม่สามารถจำกัดการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวให้กับภูมิภาคใดภูมิภาคหนึ่งหรือภูมิภาคย่อยได้ ยกเว้นการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวจาก AWS GovCloud (US) และจีน (ปักกิ่ง) ซึ่งสามารถใช้ได้ในภูมิภาคใดๆ ก็ตามที่ออกการยืนยัน

ถาม: ฉันต้องทำอะไรก่อนที่จะสามารถเริ่มใช้ตำแหน่งข้อมูล AWS STS

ตามค่าเริ่มต้นตำแหน่งข้อมูล AWS STS เปิดใช้งานอยู่แล้วในทุกภูมิภาค และคุณสามารถเริ่มใช้งานได้โดยไม่ต้องดำเนินการสิ่งอื่นเพิ่มเติม

ถาม: จะเกิดอะไรขึ้นหากฉันพยายามใช้ตำแหน่งข้อมูล AWS STS ของภูมิภาคที่ถูกปิดใช้งานสำหรับบัญชี AWS ของฉัน

หากคุณพยายามใช้ตำแหน่งข้อมูล AWS STS ของภูมิภาคที่ถูกปิดใช้งานสำหรับบัญชี AWS คุณจะเห็นข้อยกเว้น AccessDenied จาก AWS STS พร้อมข้อความต่อไปนี้ “AWS STS ไม่ได้เปิดใช้งานในภูมิภาคนี้สำหรับบัญชี: AccountID ผู้ดูแลบัญชีของคุณสามารถเปิดใช้ AWS STS ในภูมิภาคนี้โดยใช้ IAM Console”

ถาม: ต้องใช้สิทธิ์ใดเพื่อเปิดใช้งานหรือปิดใช้งานภูมิภาค AWS STS จากหน้าการตั้งค่าบัญชี

ผู้ใช้ที่มีสิทธิ์ iam:* ขึ้นไปสามารถเปิดใช้งานหรือปิดใช้งานภูมิภาค AWS STS จากหน้าการตั้งค่าบัญชีใน IAM Console ได้ โปรดทราบว่าตำแหน่งข้อมูล AWS STS ในภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียเหนือ), AWS GovCloud (US) และจีน (ปักกิ่ง) นั้นเปิดใช้งานอยู่ตลอดเวลาและไม่สามารถปิดใช้งานได้

ถาม: ฉันสามารถใช้ API หรือ CLI เพื่อเปิดใช้งานหรือปิดใช้งานภูมิภาค AWS STS ได้หรือไม่

ไม่ได้ ขณะนี้ยังไม่มีการรองรับ API หรือ CLI เพื่อเปิดใช้งานหรือปิดใช้งานภูมิภาค AWS STS เรามีแผนที่จะรองรับ API และ CLI ในการเปิดตัวในอนาคต


ถาม: การเชื่อมโยงข้อมูลประจำตัวคืออะไร
AWS Identity and Access Management (IAM) รองรับการเชื่อมโยงข้อมูลประจำตัวสำหรับการเข้าถึงที่มอบหมายไปยัง AWS Management Console หรือ AWS API ด้วยการเชื่อมโยงข้อมูลประจำตัว ข้อมูลประจำตัวภายนอกจะได้รับมอบการเข้าถึงที่ปลอดภัยไปที่ทรัพยากรในบัญชี AWS ของคุณโดยไม่ต้องสร้างผู้ใช้ IAM ข้อมูลประจำตัวภายนอกเหล่านี้อาจมาจากผู้ให้บริการข้อมูลประจำตัวขององค์กรของคุณ (เช่น Microsoft Active Directory หรือจาก AWS Directory Service) หรือจากผู้ให้บริการข้อมูลประจำตัวทางเว็บ (เช่น Amazon Cognito, Login with Amazon, Facebook, Google หรือผู้ให้บริการอื่นๆ ที่ใช้งานได้กับ OpenID Connect)

ถาม: ผู้ใช้ที่เชื่อมโยงคืออะไร
ผู้ใช้ที่เชื่อมโยง (ข้อมูลประจำตัวภายนอก) คือผู้ใช้ที่คุณจัดการนอก AWS ในไดเรกทอรีบริษัท และคือบุคคลที่คุณมอบการเข้าถึงบัญชี AWS ของคุณโดยใช้การยืนยันเพื่อรักษาความปลอดภัยชั่วคราว ซึ่งแตกต่างจากผู้ใช้ IAM ซึ่งถูกสร้างและจัดเก็บไว้ในบัญชี AWS ของคุณ

ถาม: คุณรองรับ SAML หรือไม่
ใช่ AWS รองรับ Security Assertion Markup Language (SAML) 2.0

ถาม: โปรไฟล์ SAML ใดบ้างที่ AWS รองรับ
ตำแหน่งข้อมูล AWS single sign-on (SSO) รองรับโปรไฟล์ SAML WebSSO ซึ่งผูกกับ HTTP-POST ที่เริ่มโดย IdP สิ่งนี้ทำให้ผู้ใช้ที่เชื่อมโยงสามารถลงชื่อเข้าใช้ AWS Management Console โดยใช้การยืนยัน SAML สามารถใช้การยืนยัน SAML เพื่อส่งคำขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวโดยใช้ AssumeRoleWithSAML API ได้ สำหรับข้อมูลเพิ่มเติม ให้ดูเกี่ยวกับการเชื่อมโยงแบบ SAML 2.0

ถาม: ผู้ใช้ที่เชื่อมโยงสามารถเข้าถึง AWS API ได้หรือไม่
ได้ คุณสามารถขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวแบบกำหนดด้วยโปรแกรมสำหรับผู้ใช้ที่เชื่อมโยงเพื่อให้การเข้าถึง AWS API โดยตรงและปลอดภัย เราได้มอบแอปพลิเคชันตัวอย่างที่สาธิตวิธีเปิดใช้การเชื่อมโยงข้อมูลประจำตัวที่จะมอบการเข้าถึง API บริการของ AWS ที่ดูแลด้วย Microsoft Active Directory แก่ผู้ใช้ สำหรับข้อมูลเพิ่มเติม ให้ดูการใช้การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวเพื่อขอการเข้าถึงทรัพยากร AWS

ถาม: ผู้ใช้ที่เชื่อมโยงสามารถเข้าถึง AWS Management Console ได้หรือไม่
ได้ มีสองสามวิธีที่ทำได้ วิธีที่หนึ่งคือโดยการขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวแบบกำหนดด้วยโปรแกรม (เช่น GetFederationToken หรือ AssumeRole) สำหรับผู้ใช้ที่เชื่อมโยงของคุณ แล้วรวมการยืนยันเหล่านั้นให้เป็นส่วนหนึ่งของคำขอลงชื่อเข้าใช้ที่ส่งไปยัง AWS Management Console หลังจากคุณรับรองความถูกต้องผู้ใช้และมอบการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวแล้ว คุณสร้างโทเค็นสำหรับลงชื่อเข้าใช้ที่ถูกใช้โดยตำแหน่งข้อมูล AWS single sign-on (SSO) การกระทำของผู้ใช้ใน Console ถูกจำกัดโดย นโยบายควบคุมการเข้าถึงที่เชื่อมโยงกับการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว สำหรับรายละเอียดเพิ่มเติม ให้ดูการสร้าง URL ที่ทำให้ผู้ใช้ที่เชื่อมโยงสามารถเข้าถึง AWS Management Console (Custom Federation Broker) ได้

หรือคุณสามารถโพสต์การยืนยัน SAML โดยตรงไปยังการลงชื่อเข้าใช้ AWS (https://signin.aws.amazon.com/saml) การกระทำของผู้ใช้ใน Console ถูกจำกัดอยู่ที่นโยบายการควบคุมการเข้าถึงที่เชื่อมโยงกับบทบาท IAM ที่ถูกรับโดยใช้การยืนยัน SAML สำหรับรายละเอียดเพิ่มเติม ให้ดูการเปิดใช้ SAML 2.0 ให้ผู้ใช้ที่เชื่อมโยงเพื่อเข้าถึง AWS Management Console

ใช้วิธีใดวิธีหนึ่งเพื่ออนุญาตให้ผู้ใช้ที่เชื่อมโยงเข้าถึง Console โดยไม่ต้องลงชื่อเข้าใช้ด้วยชื่อผู้ใช้และรหัสผ่าน เราได้มอบแอปพลิเคชันตัวอย่างที่สาธิตวิธีเปิดใช้การเชื่อมโยงข้อมูลประจำตัวที่จะมอบการเข้าถึง AWS Management Console ที่ดูแลด้วย Microsoft Active Directory แก่ผู้ใช้ 

ถาม: ฉันสามารถควบคุมสิ่งที่ผู้ใช้ที่เชื่อมโยงได้รับอนุญาตให้ทำเมื่อลงชื่อเข้าใช้ Console แล้วได้หรือไม่
เมื่อคุณขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวให้กับผู้ใช้ที่เชื่อมโยงของคุณโดยใช้ AssumeRole API คุณสามารถรวมนโยบายการเข้าถึงไปกับคำขอนี้ได้โดยไม่บังคับ สิทธิ์การใช้งานของผู้ใช้ที่เชื่อมโยงคือจุดตัดกันที่สิทธิ์ที่ได้รับจากนโยบายการเข้าถึงที่ถูกส่งมาพร้อมกับคำขอและนโยบายการเข้าถึงที่แนบมากับบทบาท IAM ที่ถูกรับ นโยบายการเข้าถึงที่ส่งมาพร้อมกับคำขอจะไม่สามารถยกระดับสิทธิ์การใช้งานที่เชื่อมโยงกับบทบาท IAM ที่จะถูกรับได้ เมื่อคุณขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวให้กับผู้ใช้ที่เชื่อมโยงของคุณโดยใช้ GetFederationToken API คุณต้องมอบนโยบายการเข้าถึงไปกับคำขอนี้ สิทธิ์การใช้งานของผู้ใช้ที่เชื่อมโยงคือจุดตัดกันที่สิทธิ์ที่ได้รับจากนโยบายการเข้าถึงที่ถูกส่งมาพร้อมกับคำขอและนโยบายการเข้าถึงที่แนบมากับบทบาท IAM ที่ถูกใช้สร้างคำขอ นโยบายการเข้าถึงที่ส่งมาพร้อมกับคำขอจะไม่สามารถยกระดับสิทธิ์การใช้งานที่เชื่อมโยงกับผู้ใช้ IAM ที่ถูกใช้เพื่อสร้างคำขอ สิทธิ์ผู้ใช้ที่เชื่อมโยงเหล่านี้บังคับใช้กับการเข้าถึง API และการกระทำที่เกิดขึ้นภายใน AWS Management Console

ถาม: ผู้ใช้ที่เชื่อมโยงต้องมีสิทธิ์ใดเพื่อใช้ Console
ผู้ใช้ต้องมีสิทธิ์ไปยัง API บริการของ AWS ที่เรียกใช้โดย AWS Management Console สิทธิ์ทั่วไปที่จำเป็นต้องมีเพื่อเข้าถึงบริการของ AWS ที่บันทึกอยู่ในการใช้การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวเพื่อขอการเข้าถึงทรัพยากรของ AWS

ถาม: ฉันจะควบคุมระยะเวลาที่ผู้ใช้ที่เชื่อมโยงสามารถเข้าถึง AWS Management Console ได้อย่างไร
คุณสามารถกำหนดขีดจำกัดเซสชันได้ระหว่าง 15 นาทีถึง 36 ชั่วโมง (สำหรับ GetFederationToken และ GetSessionToken) และระหว่าง 15 นาทีถึง 12 ชั่วโมง (สำหรับ AssumeRole* API) ซึ่งเป็นช่วงเวลาที่ผู้ใช้ที่เชื่อมโยงสามารถเข้าถึง Console ได้โดยขึ้นอยู่กับ API ที่ใช้สร้างการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว เมื่อเซสชันหมดอายุ ผู้ใช้ที่เชื่อมโยงต้องส่งคำขอเซสชันใหม่โดยกลับไปยังผู้ให้บริการข้อมูลประจำตัวของคุณ จากจุดนี้คุณสามารถมอบสิทธิ์การเข้าถึงให้แก่ผู้ใช้ได้อีกครั้ง เรียนรู้เพิ่มเติมเกี่ยวกับการตั้งค่าช่วงเซสชัน  

ถาม: จะเกิดอะไรขึ้นเมื่อ Console การเชื่อมโยงข้อมูลประจำตัวหมดเวลา
ผู้ใช้จะเห็นข้อความระบุว่าเซสชัน Console หมดเวลาแล้วและผู้ใช้ต้องขอเซสชันใหม่ คุณสามารถระบุ URL ให้นำทางผู้ใช้ไปยังหน้าเว็บอินทราเน็ตภายในที่ผู้ใช้สามารถขอเซสชันใหม่ได้ คุณเพิ่ม URL นี้เมื่อคุณกำหนดให้พารามิเตอร์ผู้ออกเป็นส่วนหนึ่งของคำขอลงชื่อเข้าใช้ สำหรับข้อมูลเพิ่มเติม ให้ดูการเปิดใช้ SAML 2.0 ให้ผู้ใช้ที่เชื่อมโยงเพื่อเข้าถึง AWS Management Console

ถาม: ฉันสามารถมอบการเข้าถึง AWS Management Console ให้แก่ผู้ใช้ที่เชื่อมโยงได้กี่ราย
ไม่มีการจำกัดจำนวนผู้ใช้ที่เชื่อมโยงสำหรับมอบการเข้าถึง Console

ถาม: การเชื่อมโยงข้อมูลประจำตัวแบบเว็บคืออะไร

การเชื่อมโยงข้อมูลประจำตัวแบบเว็บช่วยให้คุณสามารถสร้างแอปบนมือถือด้วย AWS ที่ใช้ผู้ให้บริการข้อมูลประจำตัวสาธารณะ (เช่น Amazon Cognito, Login with Amazon, Facebook, Google หรือผู้ให้บริการอื่นๆ ที่ใช้งานได้กับ OpenID Connect) สำหรับการรับรองความถูกต้อง ด้วยการเชื่อมโยงข้อมูลประจำตัวแบบเว็บ คุณจะสามารถผนวกรวมการลงชื่อเข้าใช้จากผู้ให้บริการข้อมูลประจำตัวสาธารณะ (IdP) ไปยังแอปของคุณได้อย่างง่ายดาย โดยไม่ต้องเขียนโค้ดฝั่งเซิร์ฟเวอร์และแจกการยืนยันเพื่อรักษาความปลอดภัย AWS ระยะยาวด้วยแอป

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเชื่อมโยงข้อมูลประจำตัวแบบเว็บและเพื่อเริ่มต้นใช้งาน ให้ดูเกี่ยวกับการเชื่อมโยงข้อมูลประจำตัวแบบเว็บ

 

ถาม: ฉันจะเปิดใช้การเชื่อมโยงข้อมูลประจำตัวแบบเว็บด้วยบัญชีจาก IdP สาธารณะได้อย่างไร

เพื่อผลลัพธ์ที่ดีที่สุด ให้ใช้ Amazon Cognito เป็นโบรกเกอร์ข้อมูลประจำตัวของคุณสำหรับสถานการณ์การเชื่อมโยงข้อมูลประจำตัวแบบเว็บเกือบทั้งหมด Amazon Cognito ใช้งานง่ายและมีความสามารถเพิ่มเติม เช่น การเข้าถึง (ไม่มีการรับรองความถูกต้อง) แบบนิรนาม และซิงโครไนซ์ข้อมูลผู้ใช้บนอุปกรณ์และผู้ให้บริการทั้งหมด อย่างไรก็ตาม หากคุณได้สร้างแอปที่ใช้การเชื่อมโยงข้อมูลประจำตัวแบบเว็บโดยการเรียกใช้ AssumeRoleWithWebIdentity API ด้วยตนเอง คุณสามารถใช้งานแอปได้ต่อและแอปของคุณยังคงทำงานได้

ขั้นตอนต่อไปนี้คือขั้นตอนพื้นฐานเพื่อเปิดใช้การเชื่อมโยงข้อมูลประจำตัวโดยใช้เว็บที่รองรับ IdP:

  1. ลงชื่อสมัครใช้ในฐานะ Developer ด้วย IdP และกำหนดค่าแอปของคุณด้วย IdP ซึ่งจะมอบ ID เฉพาะตัวให้กับแอปของคุณ
  2. หากคุณใช้ IdP ที่สามารถใช้งานได้กับ OIDC ให้สร้างหน่วยงานผู้ให้บริการข้อมูลประจำตัวใน IAM
  3. ใน AWS ให้สร้างบทบาท IAM หนึ่งบทบาทขึ้นไป 
  4. ในแอปพลิเคชันของคุณ ให้รับรองความถูกต้องผู้ใช้ของคุณด้วย IdP สาธารณะ
  5. ในแอปของคุณ ให้เรียกใช้แบบไม่ลงชื่อไปยัง AssumeRoleWithWebidentity API เพื่อขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว 
  6. การใช้การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวที่คุณได้รับจากการตอบสนองของ AssumeRoleWithWebidentity แอปของคุณจะส่งคำขอที่ลงชื่อไปยัง AWS API
  7. แอปของคุณจะแคชการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวเพื่อที่คุณจะได้ไม่ต้องขอการยืนยันใหม่ทุกครั้งที่แอปต้องส่งคำขอไปยัง AWS

สำหรับขั้นตอนอย่างละเอียด ให้ดูการใช้ API การเชื่อมโยงข้อมูลประจำตัวแบบเว็บสำหรับแอปมือถือ

ถาม: การเชื่อมโยงข้อมูลประจำตัวโดยใช้ AWS Directory Service ต่างจากการใช้โซลูชันการจัดการข้อมูลประจำของบริษัทอื่นอย่างไร

หากคุณต้องการให้ผู้ใช้ที่เชื่อมโยงของคุณสามารถเข้าถึงเฉพาะ AWS Management Console เท่านั้น การใช้ AWS Directory Service จะมอบความสามารถที่คล้ายกันเมื่อเทียบกับการใช้โซลูชันการจัดการข้อมูลประจำของบริษัทอื่น ผู้ใช้ปลายทางสามารถลงชื่อเข้าใช้โดยใช้การยืนยันของบริษัทที่มีอยู่และเข้าถึง AWS Management Console ได้ เนื่องจาก AWS Directory Service คือบริการที่มีการจัดการ ลูกค้าจึงไม่จำเป็นต้องตั้งค่าหรือจัดการโครงสร้างพื้นฐานการเชื่อมโยง แต่จำเป็นต้องสร้างไดเรกทอรี AD Connector เพื่อผนวกรวมเข้ากับไดเรกทอรีขององค์กร หากคุณต้องการมอบการเข้าถึง AWS API ให้กับผู้ใช้ที่เชื่อมโยง ให้ใช้ข้อเสนอของบริษัทอื่น หรือนำเซิร์ฟเวอร์พร็อกซีของคุณมาปรับใช้


ถาม: การเรียกเก็บเงิน AWS แสดงการใช้งานโดยรวมและแจกแจงค่าใช้จ่ายตามผู้ใช้หรือไม่
ไม่ ยังไม่รองรับ

ถาม: บริการ IAM เสียค่าใช้จ่ายหรือไม่
ไม่ นี่เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม

ถาม: ใครคือผู้ชำระเงินสำหรับการใช้งานที่เกิดขึ้นจากผู้ใช้ภายใต้บัญชี AWS
เจ้าของบัญชี AWS จะควบคุมและรับผิดชอบต่อการใช้งาน ข้อมูล และทรัพยากรทั้งหมดภายใต้บัญชี

ถาม: มีการบันทึกกิจกรรมผู้ใช้ที่เรียกเก็บเงินได้ในข้อมูลการใช้ AWS หรือไม่
ในปัจจุบัน ยังไม่มีการรองรับดังกล่าว มีการวางแผนสำหรับการเปิดตัวในอนาคต

ถาม: เปรียบเทียบ IAM กับ Consolidated Billing ได้อย่างไร
IAM และ Consolidated Billing เป็นคุณสมบัติเสริม Consolidated Billing ทำให้คุณสามารถรวมการชำระเงินสำหรับบัญชี AWS หลายๆ บัญชีในบริษัทของคุณโดยกำหนดบัญชีชำระเงินเพียงหนึ่งบัญชี ขอบเขต IAM ไม่เกี่ยวข้องกับ Consolidated Billing ผู้ใช้อยู่ในขอบเขตบัญชี AWS และไม่มีสิทธิ์ข้ามบัญชีที่เชื่อมโยงได้ สำหรับรายละเอียดเพิ่มเติม ให้ดูการชำระเงินสำหรับหลายบัญชีโดยใช้ Consolidated Billing

ถาม: ผู้ใช้สามารถเข้าถึงข้อมูลการเรียกเก็บเงินบัญชี AWS ได้หรือไม่
ได้ หากคุณอนุญาตเท่านั้น หากต้องการให้ผู้ใช้ IAM เข้าถึงข้อมูลการเรียกเก็บเงิน อันดับแรกคุณต้องมอบการเข้าถึงกิจกรรมในบัญชีหรือรายงานการใช้งานก่อน ดูการควบคุมการเข้าถึง


ถาม: จะเกิดอะไรขึ้นหากผู้ใช้พยายามเข้าถึงบริการที่ยังไม่ผนวกรวมกับ IAM
บริการจะแสดงข้อผิดพลาด “ปฏิเสธการเข้าถึง”

ถาม: มีการบันทึกการกระทำ IAM เพื่อการตรวจสอบหรือไม่
ได้ คุณสามารถบันทึกการกระทำ IAM, การกระทำ STS และการลงชื่อเข้าใช้ AWS Management Console โดยเปิดใช้งาน AWS CloudTrail หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการบันทึก AWS ให้ดู AWS CloudTrail

ถาม: มีความแตกต่างระหว่างตัวแทนบุคคลและซอฟต์แวร์ในฐานะหน่วยงาน AWS หรือไม่
ไม่มี ทั้งสองหน่วยงานนี้ได้รับการดูแลในฐานะผู้ใช้ที่มีการยืนยันเพื่อรักษาความปลอดภัยและสิทธิ์ อย่างไรก็ตาม บุคคลเท่านั้นที่สามารถใช้รหัสผ่านใน AWS Management Console ได้

ถาม: ผู้ใช้สามารถใช้งานได้กับ AWS Support Center และ Trusted Advisor หรือไม่
ใช่ ผู้ใช้ IAM มีความสามารถในการสร้างและปรับแก้กรณีการสนับสนุนและใช้ Trusted Advisor ได้

ถาม: มีขีดจำกัดโควตาตามค่าเริ่มต้นที่เชื่อมโยงกับ IAM หรือไม่
มี ตามค่าเริ่มต้นบัญชี AWS ของคุณมีโควตาเริ่มต้นที่กำหนดไว้สำหรับหน่วยงานที่เกี่ยวข้องกับ IAM ทั้งหมด สำหรับรายละเอียด ให้ดูขีดจำกัดของหน่วยงานและออบเจ็กต์ IAM

โควตาเหล่านี้สามารถเปลี่ยนแปลงได้ หากคุณต้องการเพิ่ม คุณสามารถเข้าไปที่แบบฟอร์มเพิ่มขีดจำกัดบริการทางหน้าติดต่อเรา แล้วเลือกกลุ่มและผู้ใช้ IAM จากรายการแบบดึงลงประเภทขีดจำกัด


ถาม: AWS MFA คืออะไร
AWS Multi-Factor Authentication (AWS MFA) มอบระดับการรักษาความปลอดภัยเพิ่มขึ้นอีกขั้นซึ่งคุณสามารถปรับใช้กับสภาพแวดล้อม AWS ของคุณได้ คุณสามารถเปิดใช้ AWS MFA สำหรับบัญชี AWS ของคุณและสำหรับผู้ใช้ AWS Identity and Access Management (IAM) แต่ละรายที่คุณสร้างภายใต้บัญชีของคุณ

ถาม: AWS MFA ทำงานอย่างไร
วิธีการรับรองความถูกต้องโดยใช้อุปกรณ์ AWS MFA มีสองวิธีหลัก ดังนี้:

  • ผู้ใช้ AWS Management Console: เมื่อผู้ใช้มีสัญลักษณ์เปิดใช้การลงชื่อเข้าใช้ MFA ใน เว็บไซต์ AWS ระบบจะแจ้งขอ ชื่อผู้ใช้ และรหัสผ่าน (ปัจจัยแรกที่ผู้ใช้รู้) และการตอบสนองเพื่อรับรองความถูกต้องจากอุปกรณ์ AWS MFA (ปัจจัยที่สองที่ผู้ใช้มี) เว็บไซต์ AWS ทุกเว็บไซต์ที่จำเป็นต้องลงชื่อเข้าใช้ เช่น AWS Management Console ที่รองรับ AWS MFA แบบสมบูรณ์ คุณยังสามารถใช้ AWS MFA ร่วมกับ Amazon S3 เพื่อลบแบบปลอดภัยสำหรับความปลอดภัยเพิ่มเติมให้กับ S3 เวอร์ชันที่จัดเก็บ
  • ผู้ใช้ AWS API: คุณสามารถบังคับใช้การรับรองความถูกต้อง MFA โดยเพิ่มการจำกัด MFA ไปยังนโยบาย IAM หากต้องการเข้าถึง API และทรัพยากรที่ได้รับการป้องกันลักษณะนี้ Developer สามารถส่งคำขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวและส่งต่อพารามิเตอร์ MFA ทางเลือกในคำขอ AWS Security Token Service (STS) API (บริการที่ออกการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว) การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวที่ตรวจสอบโดย MFA สามารถใช้เพื่อเรียก API และทรัพยากรที่ได้รับการปกป้องโดย MFA ได้ หมายเหตุ: AWS STS และ API แบบใช้ MFA ป้องกันไม่รองรับคีย์ความปลอดภัย U2F เป็น MFA ในขณะนี้

ถาม: ฉันสามารถช่วยปกป้องทรัพยากร AWS ด้วย MFA ได้อย่างไรบ้าง
ทำตามขั้นตอนง่ายๆ สองข้อต่อไปนี้:

1. จัดหาอุปกรณ์ MFA คุณมีสามตัวเลือกดังนี้

  • ซื้อคีย์ความปลอดภัย YubiKey ฮาร์ดแวร์จากผู้ให้บริการจากบริษัทอื่นที่ชื่อ Yubico
  • ซื้ออุปกรณ์ฮาร์ดแวร์จากผู้ให้บริการจากบริษัทอื่นที่ชื่อ Gemalto
  • ติดตั้งแอปพลิเคชันเสมือนจริงที่ใช้งานร่วมกับ MFA ได้บนอุปกรณ์ เช่น สมาร์ทโฟน

ไปที่หน้า AWS MFA เพื่อดูรายละเอียดเกี่ยวกับวิธีจัดหาฮาร์ดแวร์หรืออุปกรณ์ MFA เสมือนจริง

2. เมื่อคุณมีอุปกรณ์ MFA คุณต้องเปิดใช้งานอุปกรณ์ใน IAM Console คุณยังสามารถใช้ AWS CLI เพื่อเปิดใช้งาน MFA เสมือนจริงและ MFA ฮาร์ดแวร์ (อุปกรณ์ของ Gemalto) สำหรับผู้ใช้ IAM หมายเหตุ: AWS CLI ไม่รองรับการเปิดใช้งานคีย์ความปลอดภัย U2F ในขณะนี้

ถาม: การใช้ AWS MFA ต้องเสียค่าธรรมเนียมหรือไม่
AWS ไม่คิดค่าธรรมเนียมเพิ่มเติมสำหรับการใช้งาน AWS MFA ด้วยบัญชี AWS ของคุณ อย่างไรก็ตาม หากคุณต้องการใช้อุปกรณ์ MFA แบบจับต้องได้ คุณจะต้องซื้ออุปกรณ์ MFA ที่สามารถใช้ร่วมกับ AWS MFA ได้จากผู้ให้บริการจากบริษัทอื่นที่ชื่อ Gemalto หรือ Yubico สำหรับรายละเอียดเพิ่มเติม โปรดไปที่เว็บไซต์ของ Yubico หรือ Gemalto

ถาม: ฉันสามารถมีอุปกรณ์ MFA หลายเครื่องที่เปิดใช้งานสำหรับบัญชี AWS ของฉันได้หรือไม่
ได้ ผู้ใช้ IAM แต่ละรายสามารถมีอุปกรณ์ MFA ส่วนตัวได้ แต่ข้อมูลประจำตัวแต่ละรายการ (ผู้ใช้ IAM หรือบัญชีราก) สามารถเชื่อมโยงกับอุปกรณ์ MFA ได้เพียงหนึ่งเครื่องเท่านั้น

ถาม: ฉันสามารถใช้คีย์ความปลอดภัย U2F กับบัญชี AWS หลายบัญชีได้หรือไม่

ได้ AWS ช่วยให้คุณสามารถใช้คีย์ความปลอดภัย U2F กับรากและผู้ใช้ IAM หลายรายการกับบัญชีหลายบัญชีได้

ถาม: ฉันสามารถใช้ MFA แบบเสมือนจริง แบบฮาร์ดแวร์ หรือแบบ SMS กับบัญชี AWS หลายบัญชีได้หรือไม่
ไม่ได้ อุปกรณ์ MFA หรือหมายเลขโทรศัพท์มือถือที่เชื่อมโยงกับ MFA แบบเสมือนจริง แบบฮาร์ดแวร์ หรือแบบ SMS จะผูกกับ AWS Identity แต่ละรายการ (ผู้ใช้ IAM หรือบัญชีราก) หากคุณติดตั้งแอปพลิเคชันที่สามารถใช้ร่วมกับTOTP ได้บนสมาร์ทโฟน คุณสามารถสร้างอุปกรณ์ MFA เสมือนจริงหลายเครื่องบนสมาร์ทโฟนเครื่องเดียวกันได้ อุปกรณ์ MFA เสมือนจริงแต่ละเครื่องผูกอยู่กับข้อมูลประจำตัวหนึ่งรายการ เช่นเดียวกับอุปกรณ์ MFA ฮาร์ดแวร์ (Gemalto) หากคุณยกเลิกการเชื่อมโยง (ปิดใช้งาน) อุปกรณ์ MFA คุณจะสามารถใช้อุปกรณ์ได้อีกครั้งด้วย AWS Identity อื่น ข้อมูลประจำตัวมากกว่าหนึ่งรายการไม่สามารถใช้อุปกรณ์ MFA ที่เชื่อมโยงไปยัง MFA ฮาร์ดแวร์พร้อมกันได้

ถาม: ฉันมีอุปกรณ์ MFA ฮาร์ดแวร์ (Gemalto) จากที่ทำงานหรือจากบริการอื่นที่ฉันใช้อยู่แล้ว ฉันสามารถใช้อุปกรณ์นี้อีกครั้งด้วย AWS MFA ได้หรือไม่
ไม่ได้ AWS MFA ขึ้นอยู่กับข้อมูลลับเฉพาะที่เชื่อมโยงกับอุปกรณ์ MFA ฮาร์ดแวร์ (Gemalto) เพื่อรองรับการใช้งานอุปกรณ์ เพราะข้อจำกัดด้านการรักษาความปลอดภัยที่บังคับไม่ให้แบ่งปันข้อมูลลับกับฝ่ายอื่นๆ AWS MFA จึงไม่สามารถรองรับการใช้งานอุปกรณ์ที่มีอยู่ของ Gemalto ได้ อุปกรณ์ MFA ฮาร์ดแวร์ที่ใช้งานร่วมกันได้ที่ซื้อจาก Gemalto เท่านั้นจึงจะสามารถใช้ได้กับ AWS MFA คุณสามารถใช้คีย์ความปลอดภัย U2F ที่มีอยู่กับ AWS MFA ได้ เมื่อคีย์ความปลอดภัย U2F ไม่ได้แบ่งปันข้อมูลลับกับฝ่ายอื่นๆ

ถาม: ฉันมีปัญหากับการสั่งซื้ออุปกรณ์ MFA โดยใช้เว็บไซต์ของผู้ให้บริการจากบริษัทอื่น ฉันจะขอรับความช่วยเหลือได้จากที่ใด
ฝ่ายบริการลูกค้าของ Yubico หรือ Gemalto สามารถช่วยเหลือคุณได้

ถาม: ฉันได้รับอุปกรณ์ MFA ที่มีข้อบกพร่องหรือเสียหายจากผู้ให้บริการจากบริษัทอื่น ฉันจะขอรับความช่วยเหลือได้จากที่ใด
ฝ่ายบริการลูกค้าของ Yubico หรือ Gemalto สามารถช่วยเหลือคุณได้

ถาม: ฉันเพิ่งได้รับอุปกรณ์ MFA จากผู้ให้บริการจากบริษัทอื่น ฉันควรทำอย่างไร
คุณแค่ต้องเปิดใช้งานอุปกรณ์ MFA เพื่อเปิดใช้ AWS MFA สำหรับบัญชี AWS ของคุณ  ดูที่ IAM Console เพื่อดำเนินการในขั้นตอนนี้

ถาม: อุปกรณ์ MFA เสมือนจริงคืออะไร
อุปกรณ์ MFA เสมือนจริงคือรายการที่สร้างขึ้นใน TOTP ซึ่งเป็นแอปพลิเคชันซอฟต์แวร์ที่ใช้งานร่วมกันได้ซึ่งสร้างรหัสรับรองความถูกต้องหกหลักได้ แอปพลิเคชันซอฟต์แวร์สามารถทำงานบนอุปกรณ์ประมวลผลที่ใช้งานร่วมกันได้ เช่น สมาร์ทโฟน

ถาม: อุปกรณ์ MFA เสมือนจริงและอุปกรณ์ MFA แบบจับต้องได้แตกต่างกันอย่างไร
อุปกรณ์ MFA เสมือนจริงใช้โปรโตคอลเดียวกันกับอุปกรณ์ MFA แบบจับต้องได้ อุปกรณ์ MFA เสมือนจริงเป็นอุปกรณ์ซอฟต์แวร์และสามารถทำงานได้บนอุปกรณ์ที่คุณมีอยู่แล้ว เช่น สมาร์ทโฟน แอปพลิเคชัน MFA เสมือนจริงส่วนใหญ่ช่วยให้คุณเปิดใช้อุปกรณ์ MFA ได้มากกว่าหนึ่งเครื่อง ซึ่งทำให้อุปกรณ์ประเภทนี้ใช้งานได้สะดวกกว่าอุปกรณ์ MFA แบบจับต้องได้

ถาม: แอปพลิเคชัน MFA เสมือนจริงใดบ้างที่ฉันสามารถใช้ได้กับ AWS MFA
คุณสามารถใช้แอปพลิเคชันที่สร้างรหัสรับรองความถูกต้องตาม TOTP เช่น แอปพลิเคชัน Google Authenticator ด้วย AWS MFA คุณสามารถหาอุปกรณ์ MFA เสมือนจริงได้โดยอัตโนมัติด้วยการสแกนรหัส QR โดยใช้กล้องของอุปกรณ์หรือโดยการป้อนข้อมูลเริ่มต้นด้วยตนเองในแอปพลิเคชัน MFA เสมือนจริง

ไปที่หน้า MFA เพื่อดูรายการของแอปพลิเคชัน MFA เสมือนจริงที่รองรับ

ถาม: รหัส QR คืออะไร
รหัส QR คือบาร์โค้ดสองมิติที่ตัวอ่านบาร์โค้ด QR และสมาร์ทโฟนส่วนใหญ่สามารถอ่านได้ รหัสประกอบด้วยสี่เหลี่ยมจัตุรัสสีดำที่จัดเรียงในแบบสี่เหลี่ยมจัตุรัสที่มีขนาดใหญ่กว่าบนพื้นหลังสีขาว รหัส QR ประกอบไปด้วยข้อมูลการกำหนดค่าการรักษาความปลอดภัยที่จำเป็นเพื่อมอบให้กับอุปกรณ์ MFA เสมือนจริงในแอปพลิเคชัน MFA เสมือนจริง

ถาม: ฉันจะหาอุปกรณ์ MFA เสมือนจริงเครื่องใหม่ได้จากที่ใด
คุณสามารถกำหนดค่าอุปกรณ์ MFA เสมือนจริงเครื่องใหม่ใน IAM Console สำหรับผู้ใช้ IAM ของคุณ รวมถึงบัญชีราก AWS ของคุณได้เช่นกัน นอกจากนี้ คุณยังสามารถใช้คำสั่ง aws iam create-virtual-mfa-device ใน AWS CLI หรือ CreateVirtualMFADevice API เพื่อจัดหาอุปกรณ์ MFA เสมือนจริงเครื่องใหม่ภายใต้บัญชีของคุณได้ aws iam create-virtual-mfa-device และ CreateVirtualMFADevice API จะส่งข้อมูลการกำหนดค่าที่จำเป็นกลับมาเรียกว่าข้อมูลเริ่มต้น เพื่อกำหนดค่าอุปกรณ์ MFA เสมือนจริงในแอปพลิเคชันที่ใช้งานร่วมกับ AWS MFA ได้ คุณยังสามารถมอบสิทธิ์ให้ผู้ใช้ IAM เพื่อเรียกใช้ API นี้ได้โดยตรงหรือดำเนินการจัดหาเบื้องต้นให้กับผู้ใช้

ถาม: ฉันควรจัดการและแจกจ่ายข้อมูลเริ่มต้นสำหรับอุปกรณ์ MFA เสมือนจริงอย่างไร

คุณควรจัดการข้อมูลเริ่มต้นด้วยวิธีเดียวกันกับข้อมูลลับอื่นๆ (เช่น คีย์ลับและรหัสผ่าน AWS)

ถาม: ฉันจะสามารถอนุญาตให้ผู้ใช้ IAM จัดการอุปกรณ์ MFA เสมือนจริงภายใต้บัญชีของฉันได้อย่างไร
มอบสิทธิ์ในการเรียกใช้ CreateVirtualMFADevice API ให้กับผู้ใช้ IAM คุณสามารถใช้ API นี้เพื่อจัดหาอุปกรณ์ MFA เสมือนจริงเครื่องใหม่

ถาม: ฉันยังสามารถส่งคำขอการเข้าถึงตัวอย่าง MFA แบบ SMS ได้อยู่หรือไม่

เราไม่รองรับผู้เข้าร่วมใหม่สำหรับตัวอย่าง MFA แบบ SMS เพิ่มอีก เราขอแนะนำให้คุณใช้ MFA บนบัญชี AWS ของคุณโดยใช้คีย์ความปลอดภัย U2F, อุปกรณ์ฮาร์ดแวร์ หรืออุปกรณ์ MFA เสมือนจริง (ใช้ซอฟต์แวร์เป็นหลัก)

ถาม: ตัวอย่าง MFA แบบ SMS จะสิ้นสุดเมื่อใด

ในวันที่ 1 กุมภาพันธ์ 2019 AWS จะไม่กำหนดให้ผู้ใช้ IAM ต้องใส่รหัส MFA หกหลักอีกต่อไปถ้าผู้ใช้ IAM ตั้งค่าด้วย “อุปกรณ์ MFA แบบ SMS” ผู้ใช้เหล่านี้จะไม่ต้องให้รหัส SMS อีกต่อไปในตอนที่ลงชื่อเข้าใช้ เราขอแนะนำให้คุณใช้ MFA ผ่านคีย์ความปลอดภัย U2F, อุปกรณ์ฮาร์ดแวร์ หรืออุปกรณ์ MFA เสมือนจริง (ใช้ซอฟต์แวร์เป็นหลัก) คุณสามารถใช้คุณสมบัตินี้ต่อไปได้จนถึง 31 มกราคม 2019

ถาม: ฉันจะเปิดใช้ AWS MFA ได้จากที่ใด
คุณสามารถเปิดใช้ AWS MFA สำหรับบัญชี AWS และผู้ใช้ IAM ของคุณใน IAM Console, AWS CLI หรือโดยเรียกใช้ AWS API หมายเหตุ: AWS CLI และ AWS API ไม่รองรับการเปิดใช้คีย์ความปลอดภัย U2F ในขณะนี้

ถาม: ฉันต้องใช้ข้อมูลใดในการเปิดใช้งานอุปกรณ์รับรองความถูกต้องฮาร์ดแวร์หรือเสมือนจริง
หากคุณเปิดใช้งานอุปกรณ์ MFA ด้วย IAM Console นั่นหมายความว่าคุณต้องใช้แค่อุปกรณ์เท่านั้น หากคุณใช้ AWS CLI หรือ IAM API คุณต้องมีสิ่งต่างๆ ต่อไปนี้

1. หมายเลขประจำเครื่องของอุปกรณ์ MFA รูปแบบของหมายเลขประจำเครื่องขึ้นอยู่กับว่าคุณใช้อุปกรณ์ฮาร์ดแวร์หรืออุปกรณ์เสมือนจริง

- อุปกรณ์ MFA ฮาร์ดแวร์: หมายเลขประจำเครื่องจะอยู่บนป้ายแบบบาร์โค้ดที่ด้านหลังของอุปกรณ์
- อุปกรณ์ MFA เสมือนจริง: หมายเลขประจำเครื่องคือค่า Amazon Resource Name (ARN) ที่ถูกส่งกลับมาเมื่อคุณเรียกใช้คำสั่ง iam-virtualmfadevicecreate ใน AWS CLI หรือเรียกใช้ CreateVirtualMFADevice API

2. รหัส MFA รับรองความถูกต้องสองครั้งติดต่อกันจะแสดงโดยอุปกรณ์ MFA

ถาม: ดูเหมือนว่าอุปกรณ์ MFA ทำงานได้ปกติ แต่ฉันไม่สามารถเปิดใช้งานอุปกรณ์ได้ ฉันควรทำอย่างไร
โปรดติดต่อเราเพื่อรับความช่วยเหลือ

ถาม: หากฉันเปิดใช้ AWS MFA สำหรับบัญชีราก AWS หรือผู้ใช้ IAM จำเป็นต้องใช้ MFA เพื่อลงชื่อเข้าใช้ AWS Management Console ทุกครั้งหรือไม่
จำเป็น ผู้ใช้การยืนยันระดับราก AWS และผู้ใช้ IAM ต้องมีอุปกรณ์ MFA ของพวกเขาอยู่กับตัวทุกครั้งที่ต้องการลงชื่อเข้าใช้เว็บไซต์ AWS ต่างๆ

หากอุปกรณ์ MFA ของคุณสูญหาย เสียหาย ถูกขโมย หรือใช้งานไม่ได้ คุณสามารถลงชื่อเข้าใช้โดยใช้ปัจจัยการรับรองความถูกต้องทางเลือก ปิดใช้งานอุปกรณ์ MFA และเปิดใช้งานอุปกรณ์เครื่องใหม่ เราแนะนำให้คุณเปลี่ยนรหัสผ่านของบัญชีรากของคุณตามแนวทางการปฏิบัติที่ดีที่สุดในด้านความปลอดภัย

หากผู้ใช้ IAM ของคุณทำอุปกรณ์รับรองความถูกต้องหายหรือเสียหาย ถูกขโมยหรือไม่ทำงาน คุณสามารถปิดใช้ AWS MFA ได้ด้วยตนเองโดยใช้ IAM Console หรือ AWS CLI

ถาม: หากฉันเปิดใช้ AWS MFA สำหรับบัญชีราก AWS หรือผู้ใช้ IAM จำเป็นต้องป้อนรหัส MFA ทุกครั้งเพื่อเรียกใช้ AWS API โดยตรงหรือไม่
ไม่จำเป็น ไม่บังคับ แต่คุณต้องป้อนรหัส MFA ให้เรียบร้อย หากคุณมีแผนที่จะเรียกใช้ API ที่ป้องกันโดยการเข้าถึง API แบบใช้ MFA ป้องกัน

หากคุณเรียกใช้ AWS API โดยใช้คีย์การเข้าถึงสำหรับบัญชีราก AWS หรือผู้ใช้ IAM คุณไม่จำเป็นต้องป้อนรหัส MFA เนื่องจากเหตุผลด้านความปลอดภัย เราแนะนำให้คุณลบคีย์การเข้าถึงทั้งหมดออกจากบัญชีราก AWS แล้วเรียกใช้ AWS API ด้วยคีย์การเข้าถึงสำหรับผู้ใช้ IAM ที่มีสิทธิ์บังคับ

หมายเหตุ: คีย์ความปลอดภัย U2F ไม่สามารถใช้งานได้กับ API แบบใช้ MFA ป้องกัน และไม่สามารถใช้เป็น MFA สำหรับ AWS API ได้ในขณะนี้

ถาม: ฉันจะลงชื่อเข้าใช้พอร์ทัล AWS และ AWS Management Console โดยใช้อุปกรณ์ MFA ได้อย่างไร
ทำตามขั้นตอนสองข้อต่อไปนี้

หากคุณลงชื่อเข้าใช้ในฐานะบัญชีราก AWS ให้ลงชื่อเข้าใช้ตามปกติด้วย ชื่อผู้ใช้ และรหัสผ่านเมื่อระบบเตือน หากต้องการลงชื่อเข้าใช้ในฐานะผู้ใช้ IAM ให้ใช้ URL สำหรับบัญชีและใส่ ชื่อผู้ใช้ และรหัสผ่านเมื่อระบบเตือน

หากเปิดใช้งาน MFA แบบเสมือนจริง แบบฮาร์ดแวร์ หรือแบบ SMS แล้ว ให้ป้อนรหัส MFA หกหลักที่ปรากฏบนอุปกรณ์ MFA ของคุณ หากคุณเปิดใช้งานคีย์ความปลอดภัย U2F แล้ว ให้ใส่คีย์ลงในพอร์ต USB ของคอมพิวเตอร์ รอให้คีย์กะพริบ จากนั้นแตะปุ่มหรือดิสก์สีทองบนคีย์

ถาม: AWS MFA ส่งผลต่อวิธีการเข้าถึง API บริการของ AWS หรือไม่
AWS MFA เปลี่ยนวิธีที่ผู้ใช้ IAM เข้าถึง API บริการของ AWS หากผู้ดูแลบัญชีเลือกเปิดใช้การเข้าถึง API แบบใช้ MFA ป้องกัน ผู้ดูแลระบบอาจเปิดใช้คุณสมบัตินี้เพื่อเพิ่มระดับการรักษาความปลอดภัยอีกขั้นไปยังการเข้าถึง API ที่สำคัญๆ โดยขอให้ผู้เรียกใช้รับรองความถูกต้องด้วยอุปกรณ์ AWS MFA สำหรับข้อมูลเพิ่มเติม ให้ดูเอกสารการเข้าถึง API แบบใช้ MFA ป้องกันแบบละเอียด

ข้อยกเว้นอื่นๆ รวมถึงการจัดเวอร์ชันบัคเก็ต S3 PUT, การจัดเวอร์ชันบัคเก็ต GET และ API ออบเจ็กต์ DELETE ซึ่งทำให้คุณต้องใช้การรับรองความถูกต้อง MFA เพื่อลบหรือเปลี่ยนแปลงสถานะการจัดเวอร์ชันของบัคเก็ต สำหรับข้อมูลเพิ่มเติม ให้ดูเอกสาร S3 เรื่องการกำหนดค่าบัคเก็ตที่มี MFA Delete แบบละเอียด

สำหรับกรณีอื่นๆ AWS MFA ยังไม่เปลี่ยนวิธีการเข้าถึง API บริการของ AWS

หมายเหตุ: คีย์ความปลอดภัย U2F ไม่สามารถใช้งานได้กับ API แบบใช้ MFA ป้องกัน และไม่สามารถใช้เป็น MFA สำหรับ AWS API ได้ในขณะนี้

ถาม: สำหรับ MFA เสมือนจริงและฮาร์ดแวร์ ฉันจะสามารถใช้รหัส MFA ที่ให้มามากกว่าหนึ่งครั้งได้หรือไม่
ไม่ เนื่องจากเหตุผลด้านความปลอดภัย คุณสามารถใช้รหัส MFA แต่ละรหัสที่อุปกรณ์ MFA เสมือนจริงและฮาร์ดแวร์ให้มาเพียงครั้งเดียวเท่านั้น

ถาม: ระบบเพิ่งขอให้ฉันซิงค์อุปกรณ์รับรองความถูกต้องอีกครั้งเพราะรหัส MFA ของฉันถูกปฏิเสธ ฉันควรกังวลเรื่องนี้หรือไม่
ไม่ สถานการณ์เช่นนี้เกิดขึ้นได้เป็นครั้งคราว MFA เสมือนจริงและฮาร์ดแวร์ทำงานตามนาฬิกาในอุปกรณ์ MFA ที่ซิงค์กับนาฬิกาในเซิร์ฟเวอร์ของเรา บางครั้งนาฬิกาทั้งสองก็ไม่ตรงกัน หากเป็นเช่นนี้ เมื่อคุณใช้อุปกรณ์ MFA ในการลงชื่อเข้าใช้เพื่อเข้าถึงหน้าที่มีการรักษาความปลอดภัยในเว็บไซต์ AWS หรือ AWS Management Console AWS จะพยายามซิงค์อุปกรณ์รับรองความถูกต้องอีกครั้งโดยอัตโนมัติโดยขอให้คุณป้อนรหัส MFA สองครั้งติดต่อกัน (เหมือนที่คุณทำในขั้นตอนเปิดใช้งาน)

คีย์ความปลอดภัย U2F ไม่ต้องออกจากซิงค์และไม่จำเป็นต้องซิงค์อีกครั้ง

ถาม: ดูเหมือนว่าอุปกรณ์ MFA ทำงานได้ปกติ แต่ฉันไม่สามารถใช้อุปกรณ์เพื่อลงชื่อเข้าใช้ AWS Management Console ได้ ฉันควรทำอย่างไร
หากคุณใช้ MFA เสมือนจริงหรือฮาร์ดแวร์ เราขอแนะนำให้คุณซิงโครไนซ์อุปกรณ์ MFA อีกครั้งสำหรับการยืนยันของผู้ใช้ IAM หากคุณลองซิงค์อีกครั้งและยังคงประสบปัญหาในการลงชื่อเข้าใช้อยู่ คุณสามารถลงชื่อเข้าใช้โดยใช้ปัจจัยการรับรองความถูกต้องทางเลือก แล้วรีเซ็ตอุปกรณ์ MFA

หากคุณใช้คีย์ความปลอดภัย U2F คุณสามารถลงชื่อเข้าใช้โดยใช้ปัจจัยการรับรองความถูกต้องทางเลือก และรีเซ็ตอุปกรณ์ MFA ได้

หากคุณยังคงประสบปัญหาอยู่ ให้ติดต่อเราเพื่อรับความช่วยเหลือ

ถาม: อุปกรณ์ MFA ของฉันสูญหาย เสียหาย ถูกขโมย หรือใช้งานไม่ได้ และตอนนี้ฉันไม่สามารถลงชื่อเข้าใช้ AWS Management Console ได้ ฉันควรทำอย่างไร
หากอุปกรณ์ MFA ของคุณเชื่อมโยงกับบัญชีราก AWS:

ถาม: ฉันจะปิดใช้ AWS MFA ได้อย่างไร

หากต้องการปิดใช้ AWS MFA สำหรับบัญชี AWS คุณสามารถปิดใช้งานอุปกรณ์ MFA โดยใช้หน้าการยืนยันเพื่อรักษาความปลอดภัย หากต้องการปิดใช้ AWS MFA สำหรับผู้ใช้ IAM คุณต้องใช้ IAM Console หรือ AWS CLI

ถาม: ฉันสามารถใช้ AWS MFA ใน GovCloud ได้หรือไม่
ได้ คุณสามารถใช้อุปกรณ์ MFA เสมือนจริงและอุปกรณ์ MFA ฮาร์ดแวร์ของ AWS ใน GovCloud ได้

ถาม: การเข้าถึง API แบบใช้ MFA ป้องกันคืออะไร
การเข้าถึง API แบบใช้ MFA ป้องกันคือการทำงานทางเลือกที่ผู้ดูแลบัญชีบังคับใช้การรับรองความถูกต้องเพิ่มเติมสำหรับ API แบบระบุลูกค้าโดยขอให้ผู้ใช้ป้อนปัจจัยการรับรองความถูกต้องครั้งที่สองนอกเหนือจากรหัสผ่าน สิ่งนี้จะทำให้ผู้ดูแลบัญชีสามารถรวมเงื่อนไขในนโยบาย IAM ที่ตรวจสอบและขอการรับรองความถูกต้อง MFA สำหรับการเข้าถึง API ที่เลือกได้โดยเฉพาะ อันดับแรกผู้ใช้ที่เรียกใช้ API ต้องมีการยืนยันชั่วคราวที่แสดงรหัส MFA ที่ถูกต้องที่ลูกค้าป้อน

ถาม: ฉันสามารถใช้คีย์ความปลอดภัย U2F กับ API แบบใช้ MFA ป้องกันได้หรือไม่

ไม่ได้ API แบบใช้ MFA ป้องกันไม่รองรับคีย์ความปลอดภัย U2F ในขณะนี้

ถาม: การเข้าถึง API แบบใช้ MFA ป้องกันแก้ปัญหาใด
ก่อนหน้านี้ ลูกค้าสามารถขอ MFA เพื่อเข้าถึง AWS Management Console ได้ แต่ไม่สามารถบังคับใช้ข้อกำหนด MFA กับ Developer และแอปพลิเคชันที่โต้ตอบโดยตรงกับ API บริการของ AWS ได้ การเข้าถึง API แบบใช้ MFA ป้องกันช่วยทำให้แน่ใจว่านโยบาย IAM ถูกบังคับใช้อย่างทั่วถึงโดยไม่คำนึงถึงพาธ การเข้าถึง จึงทำให้คุณสามารถพัฒนาแอปพลิเคชันของตนเองได้โดยใช้ AWS และเตือนให้ผู้ใช้รับรองความถูกต้อง MFA ก่อนเรียกใช้ API ที่มีประสิทธิภาพสูงหรือเข้าถึงทรัพยากรที่มีความสำคัญมาก

ถาม: ฉันจะเริ่มต้นใช้งานการเข้าถึง API แบบใช้ MFA ป้องกันได้อย่างไร
คุณสามารถเริ่มต้นด้วยขั้นตอนสองข้อง่ายๆ ดังนี้:

  1. กำหนดอุปกรณ์ MFA ให้กับผู้ใช้ IAM คุณสามารถซื้อรีโมตพวงกุญแจแบบฮาร์ดแวร์ หรือดาวน์โหลดแอปพลิเคชันฟรีที่ใช้งานร่วมกับ TOTP สำหรับสมาร์ทโฟน แท็บเล็ต หรือคอมพิวเตอร์ได้ ดูหน้ารายละเอียด MFA สำหรับข้อมูลเพิ่มเติมเกี่ยวกับอุปกรณ์ AWS MFA
  2. เปิดใช้การเข้าถึง API แบบใช้ MFA ป้องกันโดยสร้างนโยบายสิทธิ์สำหรับผู้ใช้ IAM และ/หรือกลุ่ม IAM ที่คุณต้องการให้รับรองความถูกต้อง MFA หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับไวยากรณ์ภาษาสำหรับนโยบายการเข้าถึง ให้ดูที่เอกสารภาษาสำหรับนโยบายการเข้าถึง

ถาม: Developer และผู้ใช้เข้าถึง API และทรัพยากรที่รักษาความปลอดภัยด้วยการเข้าถึง API แบบใช้ MFA ป้องกันได้อย่างไร
Developer และผู้ใช้โต้ตอบกับการเข้าถึง API แบบใช้ MFA ป้องกันทั้งใน AWS Management Console และที่ API

ใน AWS Management Console ผู้ใช้ IAM ที่เปิดใช้ MFA ต้องรับรองความถูกต้องด้วยอุปกรณ์ของพวกเขาเพื่อให้สามารถลงชื่อเข้าใช้ได้ ผู้ใช้ที่ไม่มี MFA จะไม่ได้รับการเข้าถึง API แบบใช้ MFA ป้องกันและทรัพยากร

ในระดับ API Developer สามารถผนวกรวม AWS MFA ไปที่แอปพลิเคชันเพื่อแจ้งเตือนผู้ใช้ให้รับรองความถูกต้องโดยใช้อุปกรณ์ MFA ที่กำหนดก่อนเรียกใช้ API ที่มีประสิทธิภาพสูงหรือเข้าถึงทรัพยากรที่มีความสำคัญมาก Developer เปิดใช้การทำงานนี้โดยเพิ่มพารามิเตอร์ MFA ทางเลือก (หมายเลขประจำเครื่องและรหัส MFA) เพื่อขอรับการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว (หรือเรียกคำขอนี้ว่า "คำขอเซสชัน") หากพารามิเตอร์ถูกต้อง การยืนยันเพื่อรักษาความปลอดภัยชั่วคราวที่แสดงสถานะ MFA จะถูกส่งกลับ ดูเอกสารการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวสำหรับข้อมูลเพิ่มเติม

ถาม: ใครบ้างที่สามารถใช้การเข้าถึง API แบบใช้ MFA ป้องกันได้
การเข้าถึง API แบบใช้ MFA ป้องกันมีให้ใช้โดยไม่เสียค่าใช้จ่ายสำหรับลูกค้า AWS ทั้งหมด

ถาม: บริการใดบ้างที่การเข้าถึง API แบบใช้ MFA ป้องกันทำงานร่วมด้วย
บริการของ AWS ทั้งหมดที่รองรับการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวรองรับการเข้าถึง API แบบใช้ MFA ป้องกัน สำหรับรายชื่อบริการที่รองรับ ให้ดูที่บริการของ AWS ที่ใช้งานได้กับ IAM และดูคอลัมน์ที่มีชื่อว่ารองรับการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว

ถาม: จะเกิดอะไรขึ้นหากผู้ใช้ให้ข้อมูลอุปกรณ์ MFA ที่ไม่ถูกต้องเมื่อส่งคำขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว
คำขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวจะล้มเหลว คำขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราวที่ระบุพารามิเตอร์ MFA จะต้องให้หมายเลขประจำเครื่องของอุปกรณ์ที่เชื่อมโยงกับผู้ใช้ IAM ที่ถูกต้อง รวมถึงรหัส MFA ที่ถูกต้องเช่นกัน

ถาม: การเข้าถึง API แบบใช้ MFA ป้องกันควบคุมการเข้าถึง API สำหรับบัญชีราก AWS ใช่หรือไม่
ไม่ใช่ การเข้าถึง API แบบใช้ MFA ป้องกันควบคุมการเข้าถึงสำหรับผู้ใช้ IAM เท่านั้น บัญชีรากไม่ผูกอยู่ด้วยนโยบาย IAM และนี่คือเหตุผลที่เราแนะนำให้คุณสร้างผู้ใช้ IAM เพื่อโต้ตอบกับ API บริการของ AWS แทนที่จะใช้การยืนยันบัญชีราก AWS

ถาม: ผู้ใช้จำเป็นต้องมีอุปกรณ์ MFA ที่กำหนดให้เพื่อใช้งานการเข้าถึง API แบบใช้ MFA ป้องกันหรือไม่
ใช่ ผู้ใช้จะต้องถูกกำหนดฮาร์ดแวร์เฉพาะตัวหรืออุปกรณ์ MFA เสมือนจริงก่อน

ถาม: การเข้าถึง API แบบใช้ MFA ป้องกันสามารถใช้งานร่วมกับออบเจ็กต์ S3, คิว SQS และหัวข้อ SNS ได้หรือไม่
ได้

ถาม: การเข้าถึง API แบบใช้ MFA ป้องกันโต้ตอบกับกรณีการใช้ MFA ที่มีอยู่ เช่น S3 MFA Delete ได้อย่างไร
การเข้าถึง API แบบใช้ MFA ป้องกันและ S3 MFA Delete ไม่โต้ตอบซึ่งกันและกัน ปัจจุบัน S3 MFA Delete ยังไม่รองรับการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว แต่ต้องดำเนินการเรียกใช้ S3 MFA Delete API โดยใช้คีย์การเข้าถึงระยะยาว

ถาม: การเข้าถึง API แบบใช้ MFA ป้องกันใช้งานได้ในภูมิภาค GovCloud (US) หรือไม่
ได้

ถาม: ผู้ใช้ที่เชื่อมโยงสามารถใช้งานการเข้าถึง API แบบใช้ MFA ป้องกันได้หรือไม่
ลูกค้าไม่สามารถใช้การเข้าถึง API แบบใช้ MFA ป้องกันเพื่อควบคุมการเข้าถึงสำหรับผู้ใช้ที่เชื่อมโยงได้ GetFederatedSession API ไม่ยอมรับพารามิเตอร์ MFA เนื่องจากผู้ใช้ที่เชื่อมโยงไม่สามารถรับรองความถูกต้องด้วยอุปกรณ์ AWS MFA ได้ พวกเขาจึงไม่สามารถเข้าถึงทรัพยากรที่ถูกกำหนดโดยการเข้าถึง API แบบใช้ MFA ป้องกันได้

ถาม: หากใช้ AWS IAM จะต้องเสียค่าใช้จ่ายเท่าใด

IAM เป็นฟีเจอร์อย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่าย คุณจะได้รับการเรียกเก็บค่าบริการเมื่อผู้ใช้ของคุณใช้บริการของ AWS อื่นๆ เท่านั้น