開始免費使用 AWS

建立免費帳戶
或者,請登入主控台

獲得 12 個月的 AWS 免費用量方案,同時享受 AWS 的基本支援功能,包括全年無休的客戶服務、支援論壇等等。


問:什麼是 AWS Identity and Access Management (IAM)?
您可以使用 AWS IAM 對存取 AWS 資源的個人或群組進行安全地控管。您可以建立和管理使用者身分 (「IAM 使用者」),並授與這些 IAM 使用者存取資源的許可。也可以將許可授與 AWS 以外的使用者 (聯合身分使用者)。

問:如何開始使用 IAM?
要開始使用 IAM,您必須至少訂閱一個已與 IAM 整合的 AWS 服務。然後可以透過 IAM API、AWS CLIIAM 主控台 (提供可點選的 Web 界面) 建立和管理使用者、群組和許可。您也可以使用視覺化編輯器建立政策。

問:IAM 可以解決什麼問題?
IAM 可以輕鬆地讓多個使用者安全存取您的 AWS 資源。IAM 讓您能夠:

  • 管理 IAM 使用者和其存取權:您可以在 IAM 的身分管理系統中建立使用者,為他們指派個別安全登入資料 (例如存取金鑰、密碼和多重驗證裝置) 或請求臨時安全登入資料,還有為使用者提供 AWS 服務和資源的存取權。您可以指定許可以控制使用者可執行的操作。
  • 管理聯合身分使用者的存取權:您可以為在公司目錄中管理的使用者請求包含可設定有效期限的安全登入資料,讓員工和應用程式可以安全存取 AWS 帳戶中的資源,而不必為他們建立 IAM 使用者帳戶。您可以指定這些安全登入資料的許可,以控制使用者可執行的操作。

問:誰可以使用 IAM?
所有 AWS 客戶都可使用 IAM。此服務並不收取額外費用。您只需支付使用者使用其他 AWS 服務的費用。

問:什麼是使用者?
使用者是 AWS 服務和應用程式所識別的唯一身分。這和 Windows 或 UNIX 等作業系統中的登入使用者類似,使用者有唯一的名稱,可以透過密碼或存取金鑰等熟悉的安全登入資料識別自己的身分。使用者可以是需要存取 AWS 服務的個人、系統或應用程式。IAM 支援在 AWS 身分管理系統中管理的使用者 (稱為「IAM 使用者」),也可讓您將 AWS 資源的存取權授與公司目錄中在 AWS 以外管理的使用者 (稱為「聯合身分使用者」)。

問:使用者可以做什麼?
使用者可以向 Amazon S3 和 EC2 等 Web 服務提出請求。使用者存取 Web 服務 API 的能力受到 AWS 帳戶的控管,並根據 AWS 帳戶中的定義由 AWS 帳戶負責。您可以允許使用者存取任一或所有 AWS 服務,這些服務已與 IAM 整合,而且 AWS 帳戶也已訂閱 IAM。如果獲得許可,使用者就可以存取 AWS 帳戶的所有資源。此外,如果 AWS 帳戶可以存取其他 AWS 帳戶的資源,則其使用者可能也可存取那些 AWS 帳戶下的資料。使用者建立的 AWS 資源受其 AWS 帳戶控管,且由其 AWS 帳戶支付費用。使用者不能單獨訂閱 AWS 服務或控制資源。

問:使用者如何呼叫 AWS 服務?
使用者可以使用安全登入資料請求 AWS 服務。明確許可規範了使用者呼叫 AWS 服務的能力。根據預設,使用者不能代表帳戶呼叫服務 API。

問:如何開始使用 IAM?
要開始使用 IAM,您必須至少訂閱一個已與 IAM 整合的 AWS 服務。然後可以透過 IAM API、AWS CLIIAM 主控台 (提供可點選的 Web 界面) 建立和管理使用者、群組和許可。您也可以使用 AWS 政策產生器來建立政策。


問:如何管理 IAM 使用者?
IAM 支援多種方法執行以下操作:

  • 建立和管理 IAM 使用者。
  • 建立和管理 IAM 群組。
  • 管理使用者安全登入資料。
  • 建立和管理政策以授與 AWS 服務和資源的存取權。

您可以透過 IAM API、AWS CLIIAM 主控台建立和管理使用者、群組和政策。您也可以使用視覺化編輯器IAM 政策模擬器建立和測試政策。

問:什麼是群組?
群組是多位 IAM 使用者的集合。只要一個簡單的清單即可管理群組成員資格:

  • 在群組新增或移除使用者。
  • 一個使用者可屬於多個群組。
  • 群組不能屬於其他群組。
  • 可使用存取控制政策將許可授與群組。使用此方式可更加輕鬆地管理使用者集合的許可,而不必分別管理每個使用者許可。
  • 群組沒有安全登入資料,而且無法直接存取 Web 服務;群組的作用只是為了更方便管理使用者許可。有關詳細資訊,請參閱 Working with Groups and Users

問:IAM 使用者可以擁有哪些安全登入資料?
IAM 使用者可以將 AWS 支援的登入資料隨意組合使用,例如,AWS 存取金鑰、X.509 憑證、SSH 金鑰、Web 應用程式登入密碼或 MFA 裝置。這可讓使用者以對自己有意義的任何方式使用 AWS。員工可能同時擁有 AWS 存取金鑰和密碼;軟體系統可能只有 AWS 存取金鑰以用於程式設計呼叫;IAM 使用者可能有私密 SSH 金鑰以存取 AWS CodeCommit 儲存庫;而外部承包商可能只有 X.509 憑證以使用 EC2 命令列界面。有關詳細資訊,請參閱 IAM 文件中的臨時安全登入資料

問:哪些 AWS 服務支援 IAM 使用者?
您可以在 IAM 文件中的使用 IAM 的 AWS 服務部分,找到支援 IAM 使用者的完整 AWS 服務清單。AWS 計劃逐步增加對其他服務的支援。

問:是否可以啟用和停用使用者存取權?
是。您可以透過 IAM API、AWS CLIIAM 主控台啟用和停用 IAM 使用者存取金鑰。如果您停用存取金鑰,使用者就無法透過程式設計的方式來存取 AWS 服務。

問:誰可以管理 AWS 帳戶的使用者?
AWS 帳戶擁有者可以管理使用者、群組、安全登入資料和許可。此外,您也可將許可授與個別使用者,以便其透過呼叫 IAM API 管理其他使用者。例如,可以建立一個管理員使用者來管理公司的其他使用者,這也是建議的實務做法。您將管理其他使用者的許可授與使用者後,他們可透過 IAM API、AWS CLIIAM 主控台執行管理工作。

問:我是否可以用階層方式建立使用者集合,例如在 LDAP 中?
是。您可以按路徑組織使用者和群組,與 Amazon S3 中的物件路徑類似,例如 /mycompany/division/project/joe。

問:是否可以按區域定義使用者?
一開始不可以。使用者是全域實體,就和現在的 AWS 帳戶一樣。定義使用者許可時不需指定區域。使用者可以使用任何地理區域中的 AWS 服務。

問:如何為 IAM 使用者設定 MFA 裝置?
您 (AWS 帳戶擁有者) 可以指揮多個 MFA 裝置。然後您可以透過 IAM API、AWS CLIIAM 主控台將這些裝置指派給個別 IAM 使用者。

問:IAM 使用者支援哪種金鑰輪換?
使用者存取金鑰和 X.509 憑證可以輪換,如同用於 AWS 帳戶的根存取識別符一樣。您可以透過 IAM API、AWS CLIIAM 主控台,以程式設計方式來管理和輪換使用者的存取金鑰和 X.509 憑證。

問:IAM 使用者有沒有個別的 EC2 SSH 金鑰?
最初版本中沒有。IAM 不會影響 EC2 SSH 金鑰或 Windows RDP 憑證。這表示雖然每個使用者都有個別的登入資料可以存取 Web 服務 API,但必須共用已定義使用者之 AWS 帳戶通用的 SSH 金鑰。

問:何處可以使用 SSH 金鑰?

目前 IAM 使用者只能使用 SSH 金鑰搭配 AWS CodeCommit 來存取儲存庫。

問:IAM 使用者名稱是否必須是電子郵件地址?
不需要,但可以使用電子郵件地址。使用者名稱只是某特定 AWS 帳戶內的唯一 ASCII 字串。您可以選擇任何命名慣例來指派名稱,包括電子郵件地址。

問:IAM 使用者名稱可以使用哪些字元集?
您只能在 IAM 實體使用 ASCII 字元。

問:是否可以支援使用者名稱以外的其他使用者屬性?
目前不可以。

問:如何設定使用者密碼?
您可以透過 IAM 主控台AWS CLI 或 IAM API 設定 IAM 使用者的初始密碼。使用者密碼在初始佈建之後便絕對不會以明文顯示,也不會透過 API 呼叫顯示或傳回。IAM 使用者可以透過 IAM 主控台的 My Password 頁面管理自己的密碼。使用者從 AWS 管理主控台右上角的下拉式清單選取 Security Credentials 選項即可存取這個頁面。

問:是否可為我的使用者密碼定義密碼政策?
可以,您可以要求最短長度或其中至少要有一個數字來強制使用強式密碼。您還可以強制執行自動密碼過期、阻止舊密碼重複使用,以及要求下次登入 AWS 時重設密碼。有關詳細資訊,請參閱 Setting an Account Policy Password for IAM Users

問:是否可設定 IAM 使用者的用量配額?
否。整體而言,所有限制都是針對 AWS 帳戶。例如,如果您的 AWS 帳戶有 20 個 Amazon EC2 執行個體的限制,則具有 EC2 許可的 IAM 使用者最多可以啟動 20 個執行個體。您不能限制個別使用者可以執行的操作。


問:什麼是 IAM 角色?
IAM 角色是一個 IAM 實體,其定義用於提出 AWS 服務請求的一組許可。IAM 角色與特定的使用者或群組無關聯,而是,由受信任的實體擔任角色,例如 IAM 使用者、應用程式或 EC2 之類的 AWS 服務。

問:IAM 角色能解決什麼問題?
IAM 角色讓您能透過已定義的許可將存取委派給受信任實體,無須共用長期存取金鑰。您可以使用 IAM 角色將存取委派給帳戶內受管的 IAM 使用者、不同 AWS 帳戶下的 IAM 使用者,或是 EC2 之類的 AWS 服務。

問:如何開始使用 IAM 角色?
建立角色與建立使用者的方式類似,也就是命名角色並連接政策。有關詳細資訊,請參閱Creating IAM Roles

問:如何擔任 IAM 角色?
您可透過呼叫 AWS Security Token Service (STS) AssumeRole API (換句話說,也就是 AssumeRole、AssumeRoleWithWebIdentity 和 AssumeRoleWithSAML) 擔任 IAM 角色。這些 API 會傳回一組臨時的安全登入資料,讓應用程式用來簽署對 AWS 服務 API 的請求。

問:我可以擔任多少個 IAM 角色?
您可擔任的 IAM 角色數量沒有限制,但是向 AWS 服務提出請求時,只能以一個 IAM 角色進行操作。

問:誰可以使用 IAM 角色?
所有 AWS 客戶都可使用 IAM 角色。

問:IAM 角色需要多少費用?
IAM 角色是免費的。您將繼續為 AWS 帳戶中的角色耗費的所有資源付費。

問:如何管理 IAM 角色?
您可以透過 IAM API、AWS CLIIAM 主控台 (提供可點選的 Web 界面) 建立和管理 IAM 角色。

問:IAM 角色和 IAM 使用者有何區別?
IAM 使用者擁有永久性長期登入資料,且用來直接與 AWS 服務互動。IAM 角色沒有任何登入資料,且無法直接提出 AWS 服務請求。IAM 角色預定由授權的實體擔任,例如 IAM 使用者、應用程式或 EC2 之類的 AWS 服務。

問:何時應使用 IAM 使用者、IAM 群組或 IAM 角色?

IAM 使用者擁有永久性長期登入資料,且用來直接與 AWS 服務互動。IAM 群組主要是為了管理上的方便,可管理一組 IAM 使用者的同組許可。IAM 角色是有權提出 AWS 服務請求的 AWS Identity and Access Management (IAM) 實體。IAM 角色無法直接提出 AWS 服務請求,其預定由授權的實體擔任,例如 IAM 使用者、應用程式或 EC2 之類的 AWS 服務。使用 IAM 角色在 AWS 帳戶內部或帳戶之間委派存取權限。

問:是否可以將 IAM 角色新增到 IAM 群組?
目前不可以。

問:IAM 角色可以連接多少政策?

對於內嵌政策您可以新增任意數量的內嵌政策到使用者、角色或群組,但是每個實體的政策大小彙整總計 (所有內嵌政策的大小總和) 不能超過下列限制:

  • 使用者政策大小不能超過 2,048 個字元。
  • 角色政策大小不能超過 10,240 個字元。
  • 群組政策大小不能超過 5,120 個字元。

對於受管政策您最多可以新增 10 個受管政策到使用者、角色或群組。每個受管政策的大小不能超過 6,144 個字元。

問:可以建立多少 IAM 角色?
您可以在自己的 AWS 帳戶下建立最多 1,000 個 IAM 角色。如果您需要更多角色,請提交提升 IAM 限額申請表並附上您的使用案例,我們將會考慮您的請求。

問:我的應用程式可以向哪些服務提出請求?
您的應用程式可以向所有支援角色會話的 AWS 服務提出請求。

問:什麼是適用於 EC2 執行個體的 IAM 角色?
適用於 EC2 執行個體的 IAM 角色可讓在 EC2 上執行的應用程式向 AWS 服務 (例如 Amazon S3、Amazon SQS 和 Amazon SNS) 發出請求,無須您將 AWS 存取金鑰複製到每個執行個體。有關詳細資訊,請參閱 IAM Roles for Amazon EC2

問:適用於 EC2 執行個體的 IAM 角色具有哪些功能?

適用於 EC2 執行個體的 IAM 角色提供下列功能:

  • 從執行中 EC2 執行個體向 AWS 服務發出請求時使用的 AWS 臨時安全登入資料。
  • AWS 臨時安全登入資料自動輪換。
  • 為在 EC2 執行個體上執行的應用程式提供精細的 AWS 服務許可。

問:適用於 EC2 執行個體的 IAM 角色可以解決什麼問題?
適用於 EC2 執行個體的 IAM 角色可簡化 EC2 執行個體的 AWS 存取金鑰管理和部署。您可以使用此功能建立 IAM 角色與執行個體的關聯。然後,您的 EC2 執行個體將提供臨時安全登入資料給在執行個體上執行的應用程式,應用程式可使用這些登入資料對角色中定義的 AWS 服務資源安全地發出請求。

問:如何開始使用適用於 EC2 執行個體的 IAM 角色?
要了解角色如何搭配使用 EC2 執行個體,您需要使用 IAM 主控台建立一個角色,啟動使用該角色的 EC2 執行個體,然後檢查執行中執行個體。您可以檢查執行個體中繼資料,查看角色登入資料如何提供給執行個體使用。您也可以查看執行個體上執行的應用程式如何使用角色。有關更多詳細資訊,請參閱 How Do I Get Started

問:是否可在多個 EC2 執行個體使用相同的 IAM 角色?
是。

問:是否可變更執行中 EC2 執行個體上的 IAM 角色?
是。雖然通常都在啟動 EC2 執行個體時指派角色,但也可以為執行中的 EC2 執行個體指派角色。要了解如何為執行中的執行個體指派角色,請參閱 IAM Roles for Amazon EC2。您還可以變更與執行中執行個體相關的 IAM 角色許可,且更新的許可幾乎會立即生效。

問:是否可將 IAM 角色與已在執行的 EC2 執行個體建立關聯?
是。您可以為已經執行的 EC2 執行個體指派角色。要了解如何為已經執行的執行個體指派角色,請參閱 IAM Roles for Amazon EC2

問:是否可將 IAM 角色與 Auto Scaling 群組建立關聯?

是。您可以將 IAM 角色做為額外參數新增到 Auto Scaling 啟動組態中,然後使用該啟動組態建立 Auto Scaling 群組。與 IAM 角色關聯的 Auto Scaling 群組中啟動的所有 EC2 執行個體都會以該角色做為輸入參數啟動。有關更多詳細資訊,請參閱 What Is Auto Scaling? (在 Auto Scaling Developer Guide 中)。

問:是否可將多個 IAM 角色與一個 EC2 執行個體建立關聯?
否。目前一個 EC2 執行個體只能與一個 IAM 角色建立關聯。每個執行個體一個角色的限制無法增加。

問:如果刪除與執行中 EC2 執行個體關聯的 IAM 角色,會出現什麼情況?
使用該角色在該執行個體上執行的任何應用程式都會立即被拒絕存取。

問:是否能控制 IAM 使用者可以將哪些 IAM 角色與 EC2 執行個體建立關聯?
是。有關詳細資訊,請參閱 Permissions Required for Using Roles with Amazon EC2

問:以 IAM 角色啟動 EC2 執行個體需要什麼許可?
您必須授與 IAM 使用者兩個不同的許可,才能順利以角色啟動 EC2 執行個體:

  • 啟動 EC2 執行個體的許可。
  • 將 IAM 角色與 EC2 執行個體建立關聯的許可。

有關詳細資訊,請參閱 Permissions Required for Using Roles with Amazon EC2

問:誰可以存取 EC2 執行個體上的存取金鑰?
執行個體上的任何本地使用者都可以存取與 IAM 角色關聯的存取金鑰。

問:如何將 IAM 角色與 EC2 執行個體上的應用程式搭配使用?
如果您使用 AWS 開發套件開發應用程式,AWS 開發套件會自動使用已經可以在 EC2 執行個體上使用的 AWS 存取金鑰。如果您不是使用 AWS 開發套件,則可從 EC2 執行個體中繼資料服務擷取存取金鑰。有關詳細資訊,請參閱 Using an IAM Role to Grant Permissions to Applications Running on Amazon EC2 Instances

問:如何在 EC2 執行個體上輪換臨時的安全登入資料?
與 IAM 角色關聯的 AWS 臨時安全登入資料一天會自動進行多次輪換。新的臨時安全登入資料會在現有臨時安全登入資料到期前的 5 分鐘內提供使用。

問:是否可將適用於 EC2 執行個體的 IAM 角色與任何執行個體類型或 Amazon Machine Image 搭配使用?
是。適用於 EC2 執行個體的 IAM 角色也可以在 Amazon Virtual Private Cloud (VPC) 中與競價型執行個體和預留執行個體搭配使用。

問:什麼是服務連結角色?
服務連結角色是連結到 AWS 服務的一種角色類型 (也稱為連結服務),只有連結的服務可以擔任該角色。使用這些角色,您可以將許可委派給 AWS 服務,以代替您建立和管理 AWS 資源。

問:我是否可擔任服務連結角色?
否。服務連結角色只能由連結的服務擔任。這就是為什麼服務連結角色的信任政策無法修改的原因。

問:是否可刪除服務連結角色?
是。如果您不再需要 AWS 服務代您執行動作,則可刪除服務連結角色。刪除角色之前,必須先刪除與該角色相依的所有 AWS 資源。此步驟可確保您不會意外刪除 AWS 資源正常運作所需的角色。

問:如何刪除服務連結角色?
您可以從 IAM 主控台刪除服務連結角色。在導覽窗格選取 Roles,選擇您要刪除的服務連結角色,然後選擇 Delete role。 (注意:如果使用 Amazon Lex,必須使用 Amazon Lex 主控台刪除服務連結角色。)


問:許可如何運作?

存取控制政策會連接到使用者、群組和角色,以指派許可給 AWS 資源。在預設情況下,IAM 使用者、群組和角色沒有許可;具有足夠許可的使用者必須使用政策來授與所需的許可。

問:如何使用政策指派許可?

若要設定許可,您可以使用 AWS 管理主控台、IAM API 或 AWS CLI 來建立和連接政策。已被授與必要許可的使用者可以建立政策並將它們指派給 IAM 使用者、群組和角色。

問:什麼是受管政策?

受管政策是使用 IAM 政策語言表達許可的 IAM 資源。您可以和要連接這些政策的 IAM 使用者、群組和角色分開建立、編輯和管理。將受管政策連接到多個 IAM 使用者、群組或角色後,可以在一個位置更新該政策,許可會自動延展到所有連接的實體。受管政策可由您管理 (稱為客戶受管政策) 或由 AWS 管理 (稱為 AWS 受管政策)。如需受管政策的詳細資訊,請參閱 Managed Policies and Inline Policies

問:如何建立客戶管理的政策?

您可以使用 IAM 主控台中的視覺化編輯器或 JSON 編輯器。視覺化編輯器是點選式編輯器,可引導您完成政策的授與許可程序,無須使用 JSON 撰寫政策。您可以透過 CLI 和 SDK 使用 JSON 建立政策。

問:如何指派常用許可?

AWS 提供一組常用的許可,您可以將它們連接到帳戶的 IAM 使用者、群組和角色。這些政策稱為 AWS 受管政策。Amazon S3 的唯讀存取就是一個範例。當 AWS 更新這些政策時,許可會自動套用到連接政策的使用者、群組和角色。AWS 受管政策會自動顯示在 IAM 主控台的 Policies 部分。指派許可時,您可以使用 AWS 受管政策,或建立自己的客戶受管政策。根據現有的 AWS 受管政策建立新的政策,或定義您自己的政策。

問:以群組為基礎的許可如何運作?

使用 IAM 群組將同一組許可指派給多個 IAM 使用者。也可以將個別許可指派給使用者。以這兩種將許可連接至使用者的方式共同設定整體許可。

問:使用 IAM 群組指派許可與使用受管政策指派許可有什麼區別?

使用 IAM 群組收集 IAM 使用者,並為這些使用者定義常用的許可。使用受管政策以在 IAM 使用者、群組和角色之間共用許可。例如,如果您希望一組使用者能夠啟動 Amazon EC2 執行個體,還希望該執行個體上的角色與群組中的使用者擁有相同的許可,則可以建立受管政策,並將其指派給上述使用者群組和該 Amazon EC2 執行個體上的角色。

問:如何將 IAM 政策結合 Amazon S3、Amazon SQS、Amazon SNS 和 AWS KMS 以資源為基礎的政策一起評估?

IAM 政策是與服務以資源為基礎的政策一起評估。當任何類型的政策授與存取 (沒有直接拒絕) 時,則允許此動作。如需政策評估邏輯的詳細資訊,請參閱 IAM Policy Evaluation Logic

問:是否可將受管政策當作以資源為基礎的政策使用?

受管政策只能連接到 IAM 使用者、群組或角色。您不能將這些政策當做以資源為基礎的政策使用。

問:如何使用政策設定精細許可?

您可以使用政策指定數層許可精細度。第一,您可以定義允許或明確拒絕存取的特定 AWS 服務動作。第二,您可以依據動作定義可在上面執行動作的特定 AWS 資源。第三,您可以定義條件指定何時政策開始生效 (例如,啟用或停用 MFA)。

問:如何輕鬆地移除不必要的許可?

為了協助您判斷哪些許可是必要的,現在 IAM 主控台會顯示 service last accessed data,顯示 IAM 實體 (使用者、群組或角色) 上次存取 AWS 服務的時間。知道 IAM 實體是否實行或上次實行許可的時間有助於您移除不必要的許可,以較不費力的方式加強您的 IAM 政策。

問:是否可授與存取或變更帳戶層級資訊的許可 (例如,付款工具、聯絡電子郵件地址以及帳單歷史記錄)?

是,您可以為 IAM 使用者或聯合身分使用者委派檢視 AWS 帳單資料和修改 AWS 帳戶資訊的能力。如需控制存取帳單資訊的詳細資訊,請參閱控制存取

問:誰可以在 AWS 帳戶中建立和管理存取金鑰?

只有 AWS 帳戶擁有者可以管理根帳戶的存取金鑰。帳戶擁有者和已獲得必要許可授權的 IAM 使用者或角色可以管理 IAM 使用者的存取金鑰。

問:是否可以授與許可用於存取另一個 AWS 帳戶擁有的 AWS 資源?
是。IAM 使用者和聯合身分使用者可以使用 IAM 角色,透過 AWS 管理主控台、AWS CLI 或 API 來存取另一個 AWS 帳戶中的資源。請參閱 Manage IAM Roles 了解更多資訊。

問:政策看起來像什麼樣子?

下列政策授與新增、更新和刪除特定儲存貯體 example_bucket 中特定資料夾 example_folder 內物件的存取權。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

問:什麼是政策摘要?

如果您使用 IAM 主控台並選擇政策,將可看到政策摘要。政策摘要會列出政策中定義的每個服務的存取層級、資源和條件 (請參閱以下螢幕擷取畫面的範例)。存取層級 (檢視、讀取、寫入或許可管理) 由政策中授予每個服務的動作所定義。您可以選擇 JSON 按鈕,以 JSON 格式檢視政策。

政策摘要螢幕擷取畫面

問:什麼是 IAM 政策模擬器?
IAM 政策模擬器是協助您了解、測試和驗證存取控制政策效果的工具。

問:政策模擬器的用途為何?
政策模擬器有幾種用途。您可以測試政策變更,在認可進入生產前先確認政策具備所需的效果。您可以驗證連接到使用者、群組和角色的現有政策,以確認和故障診斷許可。您也可以使用政策模擬器,了解 IAM 政策和以資源為基礎的政策如何搭配使用以授與或拒絕存取 AWS 資源。

問:誰可以使用政策模擬器?
所有 AWS 客戶都可使用政策模擬器。

問:政策模擬器的費用為何?
政策模擬器並不收取額外費用。

問:如何開始使用?
前往 https://policysim.aws.amazon.com 或按一下 IAM 主控台 "Additional Information" 下的連結。指定新的政策,或從使用者、群組或角色選擇您想要評估的一組現有政策。然後從 AWS 服務清單選擇一組動作,提供任何必要的資訊以模擬存取請求,再執行模擬以判斷政策會允許或拒絕所選動作和資源的許可。要進一步了解有關 IAM 政策模擬器,請觀賞我們的入門影片或檢視文件

問:IAM 政策模擬器支援哪些類型的政策?
政策模擬器支援測試新輸入的政策以及連接到使用者、群組或角色的現有政策。此外,您可以模擬資源級政策是否對 Amazon S3 儲存貯體、Amazon Glacier 文件庫、Amazon SNS 主題和 Amazon SQS 佇列的特定資源授與存取權。當支援資源政策的服務在模擬設定資源欄位中指定 Amazon Resource Name (ARN) 時,這些都會包含在模擬中。

問:如果我在政策模擬器中變更政策,這些變更是否會保留在生產環境中?
否。要將變更套用到生產環境,需複製已在政策模擬器中修改的政策,並將其連接到所需的 IAM 使用者、群組或角色。

問:是否可以透過程式設計方式使用政策模擬器?
是。除了政策模擬器主控台以外,您還可以透過 AWS 開發套件或 AWS CLI 使用政策模擬器。使用 iam:SimulatePrincipalPolicy API 以程式設計方式測試您現有的 IAM 政策。若要測試尚未連接到使用者、群組或角色的新政策或更新政策的效果,請呼叫 iam:SimulateCustomPolicy API。 


問:IAM 使用者要如何登入?

要以 IAM 使用者的身分登入 AWS 管理主控台,除了提供使用者名稱和密碼,還必須提供帳戶 ID 或帳戶別名。當管理員在主控台建立您的 IAM 使用者時,應該提供您使用者名稱和帳戶登入頁面的 URL。該 URL 包含您的帳戶 ID 或帳戶別名。

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

您也可以在下列一般登入終端節點登入,並手動輸入帳戶 ID 或帳戶別名:

https://console.aws.amazon.com/

為方便起見,AWS 登入頁面使用瀏覽器 Cookie 記住 IAM 使用者名稱和帳戶資訊。使用者下次前往 AWS 管理主控台的任何頁面時,主控台會使用 Cookie 將使用者重新導向帳戶登入頁面。

注意:IAM 使用者仍然可以使用管理員提供的 URL 連結登入 AWS 管理主控台。

問:什麼是 AWS 帳戶別名?

帳戶別名是您定義的名稱,能夠更方便地識別您的帳戶。您可以使用 IAM API、AWS 命令列工具IAM 主控台建立別名。每個 AWS 帳戶可以有一個別名。

問:IAM 使用者可以存取哪些 AWS 網站?

IAM 使用者可以登入以下 AWS 網站:

問:IAM 使用者是否可以使用他們的登入資料登入其他 Amazon.com 網站?
否。只有 AWS 服務和應用程式能夠識別透過 IAM 建立的使用者。

問:是否有身份驗證 API 可驗證 IAM 使用者登入?
否。沒有程式設計方式可驗證使用者登入。

問:使用者是否可使用其 AWS 使用者名稱和密碼透過 SSH 連接 EC2 執行個體?
否。透過 IAM 建立的使用者安全登入資料不支援客戶 EC2 執行個體的直接身份驗證。管理 EC2 SSH 登入資料是客戶在 EC2 主控台內的責任。


問:什麼是臨時安全登入資料?
臨時安全登入資料是由 AWS 存取金鑰 ID、私密存取金鑰 (secret access key) 和安全字符組成。臨時安全登入資料在指定期間內對一組特定許可有效。臨時安全登入資料有時簡稱為字符。您可以為 IAM 使用者或自己公司目錄中管理的聯合身分使用者請求字符。如需詳細資訊,請參閱 Common Scenarios for Temporary Credentials

問:臨時安全登入資料有什麼優點?
臨時安全登入資料可讓您:

  • 擴展您的內部使用者目錄以啟用與 AWS 的聯合,並讓您的員工和應用程式能夠安全地存取 AWS 服務 API,無須為其建立 AWS 身分。
  • 為不限數量的聯合身分使用者申請臨時安全登入資料。
  • 設定臨時安全登入資料到期後的失效期間,當您透過行動裝置存取 AWS 服務 API,而有遺失裝置的風險時能提供更高的安全保障。

問:如何為聯合身分使用者請求臨時安全登入資料?
您可以呼叫 GetFederationTokenAssumeRoleAssumeRoleWithSAMLAssumeRoleWithWebIdentity STS API。

問:IAM 使用者如何為自己申請臨時安全登入資料?
IAM 使用者可呼叫 AWS STS GetSessionToken API 為自己請求臨時安全登入資料。這些臨時登入資料的預設過期時間是 12 小時;最短為 15 分鐘,最長為 36 小時。

您也可以使用臨時登入資料搭配 Multi-Factor Authentication (MFA) 保護的 API 存取

問:如何使用臨時安全登入資料呼叫 AWS 服務 API?
如果您對 AWS 發出直接 HTTPS API 請求,則可使用從 AWS Security Token Service (AWS STS) 取得的臨時安全登入資料來簽署這些請求。要這樣做,請執行下列動作:

  • 使用臨時安全登入資料提供的存取金鑰 ID 和私密存取金鑰,就像使用長期個人資料的方式一樣來簽署請求。如需簽署 HTTPS API 請求的詳細資訊,請參閱 AWS 一般參考中的簽署 AWS API 請求
  • 使用隨臨時安全登入資料提供的工作階段字符。在 "x-amz-security-token" 標頭內包含工作階段字符。請參閱下列範例請求。
    • Amazon S3:透過 "x-amz- security-token" HTTP 標頭。 
    • 其他 AWS 服務:透過 SecurityToken 參數。

問:哪些 AWS 服務接受臨時安全登入資料?
如需支援服務的清單,請參閱 AWS Services That Work with IAM

問:請求臨時安全登入資料 (GetFederationToken 或 AssumeRole) 時,可指定的存取政策大小上限為何?
政策純文字必須為 2048 個位元組或更短。不過,內部轉換會使用不同限制將它壓縮成封裝二進位。

問:是否能在過期之前撤銷臨時安全登入資料?
否。我們建議您在請求臨時登入資料時進行以下操作:

  • 在建立臨時安全登入資料時,請將過期設定為適合應用程式的值。
  • 因為無法限制根帳戶許可,所以請在建立臨時安全登入資料時使用 IAM 使用者,而不要使用根帳戶。您可以撤銷發出原始呼叫請求登入資料的 IAM 使用者許可。這個動作幾乎會立即撤銷由該 IAM 使用者發出的所有臨時安全登入資料的權限。

問:是否可以重新啟用或延長臨時安全登入資料的期限?
否。最好主動檢查過期時間,並在舊的登入資料過期之前申請新的臨時安全登入資料。在適用於 EC2 執行個體的角色中使用臨時安全登入資料時,系統會自動為您管理此輪換程序。

問:所有區域是否都支援臨時安全登入資料?
客戶可以在所有區域從 AWS STS 終端節點請求字符,包括 AWS GovCloud (US) 和中國 (北京) 區域。來自 AWS GovCloud (US) 和中國 (北京) 的臨時登入資料只能在其產生的區域使用。從任何其他區域 (例如,美國東部 (維吉尼亞北部) 或歐洲 (愛爾蘭)) 請求的臨時登入資料可以在 AWS GovCloud (US) 和中國 (北京) 以外的所有區域使用。

問:是否可將臨時安全登入資料限制在一個區域或一小組區域使用?

否。您不能將臨時安全登入資料限制在一個特定區域或一小組區域,除非該臨時安全登入資料來自 AWS GovCloud (US) 和中國 (北京),因為這兩個區域的登入資料只能在各自產生的區域使用。

問:開始使用 AWS STS 終端節點之前,我需要做些什麼事?

在所有區域中預設會啟用 AWS STS 終端節點,您不需要進一步動作即可開始使用它們。

問:如果我嘗試使用對我的 AWS 帳戶停用的區域性 AWS STS 終端節點,會發生什麼情況?

如果您嘗試使用對您的 AWS 帳戶停用的區域性 AWS STS 終端節點,則會看到 AWS STS 發出的 AccessDenied 例外狀況,訊息內容為:「AWS STS 並未在本區域中為帳戶:AccountID 啟用。您的帳戶管理員可以使用 IAM 主控台在本區域啟用 AWS STS。」

問:從 Account Settings 頁面啟用或停用 AWS STS 區域需要什麼許可?

僅限至少具有 iam:* 許可的使用者可以從 IAM 主控台的 Account Settings 頁面啟用或停用 AWS STS 區域。請注意,美國東部 (維吉尼亞北部)、AWS GovCloud (US) 和中國 (北京) 區域中的 AWS STS 終端節點始終處於作用中狀態,無法停用。

問:是否可使用 API 或 CLI 來啟用或停用 AWS STS 區域?

否。目前沒有啟用或停用 AWS STS 區域的 API 或 CLI 支援。我們計劃在未來的版本中提供 API 和 CLI 支援。


問:什麼是聯合身分?
AWS Identity and Access Management (IAM) 支援將存取權委派給 AWS 管理主控台或 AWS API 的聯合身分。使用聯合身分可授予外部身分對您 AWS 帳戶中資源的安全存取權,而無須建立 IAM 使用者。這些外部身分可以來自於您公司的身分供應商 (如 Microsoft Active Directory 或 AWS Directory Service) 或來自於 Web 身分供應商 (如 Amazon CognitoLogin with AmazonFacebookGoogle 或任何 OpenID Connect 相容供應商)。

問:什麼是聯合身分使用者?
聯合身分使用者 (外部身分) 是您在公司目錄中的 AWS 之外管理的使用者,但使用臨時安全登入資料授與存取您 AWS 帳戶的權限。他們與 IAM 使用者不同,後者是在您的 AWS 帳戶中建立和維護。

問:是否支援 SAML?
是,AWS 支援安全聲明標記語言 (SAML) 2.0。

問:AWS 支援哪些 SAML 設定檔?
AWS 單一登入 (SSO) 終端節點支援 IdP 啟動的 HTTP-POST 綁定 WebSSO SAML 設定檔。這可讓聯合身分使用者使用 SAML 聲明登入 AWS 管理主控台。SAML 聲明還可用於使用 AssumeRoleWithSAML API 請求臨時安全登入資料。如需詳細資訊,請參閱 About SAML 2.0-Based Federation

問:聯合身分使用者是否可以存取 AWS API?
是。您可以透過程式設計方式為聯合身分使用者請求臨時安全登入資料,讓他們能安全地直接存取 AWS API。我們已提供一個範例應用程式,展示如何啟用聯合身分,提供使用者由 Microsoft Active Directory 維護的 AWS 服務 API 存取。如需詳細資訊,請參閱 Using Temporary Security Credentials to Request Access to AWS Resources

問:聯合身分使用者是否可存取 AWS 管理主控台?
是。有幾種方法可達成此目的。其中一種方法是透過程式設計方式,為您的聯合身分使用者請求臨時安全登入資料 (例如,GetFederationToken 或 AssumeRole),並將這些登入資料做為 AWS 管理主控台登入請求的一部分。當您驗證使用者身分並授與臨時安全登入資料之後,可以產生由 AWS 單一登入 (SSO) 終端節點使用的登入字符。使用者在主控台中可執行的動作會受限於與臨時安全登入資料關聯的存取控制政策。有關更多詳細資訊,請參閱 Creating a URL that Enables Federated Users to Access the AWS Management Console (Custom Federation Broker)

或者,您可以將 SAML 聲明直接張貼到 AWS 登入 (https://signin.aws.amazon.com/saml)。使用者在主控台中可執行的動作會受限於與使用 SAML 聲明擔任的 IAM 角色關聯的存取控制政策。有關更多詳細資訊,請參閱 Enabling SAML 2.0 Federated Users to Access the AWS Management Console

使用任一方法都可讓聯合身分使用者存取主控台,不必透過使用者名稱和密碼登入。我們已提供一個範例應用程式,展示如何啟用聯合身分,提供使用者由 Microsoft Active Directory 維護的 AWS 管理主控台存取。

問:如何控管聯合身分使用者登入主控台之後獲允許執行的操作?
當您使用 AssumeRole API 為聯合身分使用者請求臨時安全登入資料時,可以選擇將存取政策包含在請求中。聯合身分使用者的權限將會是兩個許可的交集,一個是隨請求傳遞的存取政策所授與的許可,另一個是擔任的 IAM 角色所連接的存取政策授與的許可。隨請求傳遞的存取政策不能提升與所擔任的 IAM 角色相關的權限。當您使用 GetFederationToken API 為聯合身分使用者請求臨時安全登入資料時,必須在請求中提供存取控制政策。聯合身分使用者的權限將會是兩個許可的交集,一個是隨請求傳遞的存取政策所授與的許可,另一個是用來發出請求的 IAM 使用者所連接存取政策授與的許可。隨請求傳遞的存取政策不能提升與用來發出請求的 IAM 使用者相關的權限。這些聯合身分使用者許可適用於在 AWS 管理主控台內進行的 API 存取和動作。

問:聯合身分使用者需要什麼許可才能使用主控台?
使用者需要具有 AWS 管理主控台所呼叫的 AWS 服務 API 的許可。Using Temporary Security Credentials to Request Access to AWS Resources 中記錄了存取 AWS 服務所需的常見許可。

問:如何控制聯合身分使用者存取 AWS 管理主控台的時間長度?
視用來建立臨時安全登入資料的 API 而定,您可以指定 15 分鐘到 36 小時 (針對 GetFederationToken 和 GetSessionToken) 和 15 分鐘到 12 小時 (針對 AssumeRole* API) 的會話限制,而聯合身分使用者可以在這段期間內存取主控台。當會話過期時,聯合身分使用者需要返回您的身分供應商請求新會話,您可以在該處再次授與使用者存取權限。進一步了解有關設定會話持續時間的相關資訊。 

問:聯合身分主控台會話逾時會發生什麼情況?
使用者會收到訊息,表示主控台會話已逾時且需要請求新的會話。您可以指定一個 URL 將使用者導向本地內部網路上的網頁,讓使用者可以在這個網頁請求新會話。當您將 Issuer 參數指定為登入請求的一部分時,可以新增此 URL。如需詳細資訊,請參閱 Enabling SAML 2.0 Federated Users to Access the AWS Management Console

問:我可以提供多少聯合身分使用者存取 AWS 管理主控台?
可存取主控台的聯合身分使用者數量沒有限制。

問:什麼是 Web 聯合身分?

Web 聯合身分允許您建立由 AWS 提供支援的行動應用程式,這些應用程式使用公有身分供應商 (例如 Amazon CognitoLogin with AWSFacebookGoogle 或任何 OpenID Connect 相容供應商) 進行身份驗證。您可以使用 Web 聯合身分,輕鬆地將公有身分供應商 (IdP) 的登入整合到應用程式,無須撰寫任何伺服器端程式,也無須隨應用程式分發長期的 AWS 安全登入資料。

如需 Web 聯合身分及開始使用的詳細資訊,請參閱 About Web Identity Federation

 

問:如何對來自公有 IdP 的帳戶啟用 Web 聯合身分?

為了獲得最佳結果,請在幾乎所有 Web 聯合身分案例中,使用 Amazon Cognito 做為您的身分經紀人。Amazon Cognito 易於使用並提供其他功能,如匿名 (未驗證) 存取以及將裝置與供應商之間的使用者資料進行同步。不過,如果您已經建立一個應用程式透過手動呼叫 AssumeRoleWithWebIdentity API 來使用 Web 聯合身分,則可以繼續使用該應用程式,它仍然可以運作。

以下是使用其中一個支援的 Web IdP 來啟用聯合身分的基本步驟:

  1. 使用 IdP 以開發人員身分註冊並以 IdP 設定應用程式,就會為您的應用程式指定一個唯一 ID。
  2. 如果您使用與 OIDC 相容的 IdP,請在 IAM 中為它建立一個身分供應商實體。
  3. 在 AWS 中建立一或多個 IAM 角色。 
  4. 在您的應用程式中,使用公有 IdP 驗證您的使用者。
  5. 在您的應用程式中,對 AssumeRoleWithWebidentity API 進行一個未簽署的呼叫,以請求臨時安全登入資料。 
  6. 使用您在 AssumeRoleWithWebidentity 回應中取得的臨時安全登入資料,您的應用程式會對 AWS API 發出已簽署的請求。
  7. 接著您的應用程式會快取臨時安全登入資料,如此一來,就不需要在每次應用程式需要對 AWS 發出請求時取得新的登入資料。

有關詳細步驟,請參閱 Using Web Identity Federation APIs for Mobile Apps

問:使用 AWS Directory Service 的聯合身分與使用第三方身分管理解決方案的聯合身分有何區別?

如果您只是想讓聯合身分使用者能夠存取 AWS 管理主控台,則 AWS Directory Service 提供的功能與第三方身分管理解決方案類似。最終使用者可以使用現有的企業登入資料來登入和存取 AWS 管理主控台。因為 AWS Directory Service 是一項受管服務,客戶不需要設定或管理聯合基礎設施,只需建立 AD Connector 目錄與其現場部署目錄整合即可。如果您想為自己的聯合身分使用者提供 AWS API 的存取權,則使用第三方產品或部署自己的代理伺服器


問:AWS 帳單是否提供使用者的彙總用量和費用明細?
否,目前不支援。

問:IAM 服務是否收費?
不收費。這是 AWS 帳戶提供的一項功能,並不收取其他費用。

問:AWS 帳戶的使用者產生的費用由誰負責支付?
AWS 帳戶擁有者需控制和負責帳戶中的所有用量、資料和資源,以及支付相關費用。

問:應計費的使用者活動是否會記錄在 AWS 使用資料中?
目前不會。但未來版本已做規劃。

問:IAM 和合併帳單有何異同?
IAM 和合併帳單有互補的功能。合併帳單讓您可以指定單一付款帳戶,整合公司多個 AWS 帳戶的付款。IAM 的範疇與合併帳單無關。使用者存在於 AWS 帳戶的範圍內,且沒有跨連結帳戶的許可。有關更多詳細資訊,請參閱 Paying Bills for Multiple Accounts Using Consolidated Billing

問:使用者是否能存取 AWS 帳戶帳單資訊?
可以,但只在您允許他們如此做時。若要讓 IAM 使用者存取帳單資訊,您必須先授與他們對帳戶活動或用量報告的存取權限。請參閱 Controlling Access


問:使用者嘗試存取尚未與 IAM 整合的服務時會發生什麼情況?
服務會傳回「存取遭拒」錯誤。

問:是否可記錄 IAM 動作以用於稽核?
是。只要啟動 AWS CloudTrail,您便可記錄 IAM 動作、STS 動作和 AWS 管理主控台登入。要進一步了解 AWS 記錄,請參閱 AWS CloudTrail

問:做為 AWS 實體的人員和軟體代理程式是否有所不同?
沒有不同,這兩種實體都視為具有安全登入資料和許可的使用者。然而,只有人員在 AWS 管理主控台中使用密碼。

問:使用者是否可以使用 AWS 支援中心和 Trusted Advisor?
可以,IAM 使用者能夠建立和修改支援案例,也可以使用 Trusted Advisor。

問:IAM 是否有任何相關的預設配額限制?
是。根據預設,AWS 帳戶為所有 IAM 相關實體都設定初始配額。如需詳細資訊,請參閱 Limitations on IAM Entities

這些配額可能隨時變更。如果需要增加配額,您可以使用聯絡我們頁面上的提升服務限額申請表,並從 Limit Type 下拉式清單選擇 IAM Groups and Users


問:什麼是 AWS MFA?
AWS Multi-Factor Authentication (AWS MFA) 提供可套用到 AWS 環境的額外安全層級。您可以為 AWS 帳戶以及在該帳戶下建立的個別 AWS Identity and Access Management (IAM) 使用者啟用 AWS MFA。

問:AWS MFA 如何運作?
AWS MFA 使用身份驗證裝置連續產生一次性使用的隨機六位數身份驗證代碼。使用 AWS MFA 裝置進行驗證主要有兩種方式:

  • AWS 管理主控台使用者:啟用 MFA 的使用者 登入 AWS 網站時,系統會提示他們提供 使用者名稱 和密碼 (第一重關卡 – 他們知道的資訊),以及來自其 AWS MFA 裝置的身份驗證代碼 (第二重關卡 – 他們擁有的資訊)。需要登入的所有 AWS 網站 (像是 AWS 管理主控台) 都可完整支援 AWS MFA。您也可以將 AWS MFA 與 Amazon S3 Secure Delete 搭配使用,為 Amazon S3 儲存版本增加額外的保護。
  • AWS API 使用者:您可以在 IAM 政策中新增 MFA 限制,以強制執行 MFA 身份驗證。要存取以此方式保護的 API 和資源,開發人員可以請求臨時安全登入資料,並在其 AWS Security Token Service (STS) API 請求 (發出臨時安全登入資料的服務) 中傳遞選用的 MFA 參數。經 MFA 驗證的臨時安全登入資料可用來呼叫 MFA 保護的 API 和資源。

問:如何透過 MFA 協助保護我的 AWS 資源?
依照兩個簡單步驟進行:

1. 取得身份驗證裝置。您有兩種選擇:

  • 向第三方供應商 Gemalto 購買硬體裝置。
  • 在智慧型手機等裝置上安裝虛擬 MFA 相容的應用程式。

瀏覽 AWS MFA 頁面了解如何購置硬體或虛擬 MFA 裝置的詳細資訊。

2. 取得身份驗證裝置後,必須在 IAM 主控台啟用該裝置。您也可以使用 IAM CLI 為 IAM 使用者啟用該裝置。

問:使用 AWS MFA 是否會產生相關費用?
AWS 不會針對您的 AWS 帳戶使用 AWS MFA 收取任何額外費用。但是,如果要使用實體身份驗證裝置,則您需要向第三方供應商 Gemalto 購買與 AWS MFA 相容的身份驗證裝置。有關更多詳細資訊,請瀏覽 Gemalto 的網站

問:是否可為 AWS 帳戶啟用多個身份驗證裝置?
是。每個 IAM 使用者可以有自己的身份驗證裝置。不過,每個身分 (IAM 使用者或根帳戶) 只能與一個身份驗證裝置關聯。

問:是否可將我的身份驗證裝置與多個 AWS 帳戶搭配使用?
否。身份驗證裝置或行動電話號碼會綁定一個 AWS 身分 (IAM 使用者或根帳戶)。如果您的智慧型手機安裝了 TOTP 相容應用程式,就可以在相同的智慧型手機建立多個虛擬 MFA 裝置。每個虛擬 MFA 裝置都會綁定一個身分,與硬體裝置相同。如果您解除綁定 (停用) 身份驗證裝置,則可以將該裝置用於不同的 AWS 身分。身份驗證裝置不能同時由多個身分使用。

問:我在工作場所或使用的其他服務已擁有硬體身份驗證裝置,是否可將此裝置重複用於 AWS MFA?
否。AWS MFA 倚賴的是知道與您身份驗證裝置關聯的唯一密碼,所以能支援該裝置的使用。由於控制這種密碼的安全限制條件絕不會在多方之間共用,因此 AWS MFA 無法支援使用現有的硬體身份驗證裝置。AWS MFA 只能與購自 Gemalto 的相容硬體身份驗證裝置搭配使用。

問:我在使用第三方供應商 Gemalto 的網站下單購買身份驗證裝置時遇到問題。我從哪裡可以獲得協助?
Gemalto 客戶服務可協助您。

問:我從第三方供應商 Gemalto 收到的身份驗證裝置有瑕疵或已受損。我從哪裡可以獲得協助?
Gemalto 客戶服務可協助您。

問:我剛從第三方供應商 Gemalto 收到身份驗證裝置。我應該怎麼做?
您只需啟用身份驗證裝置,為您的 AWS 帳戶啟用 AWS MFA 即可。查看 IAM 主控台以執行此任務。

問:什麼是虛擬 MFA 裝置?
虛擬 MFA 裝置是在 TOTP 相容的軟體應用程式中建立的項目,可產生六位數身份驗證代碼。此軟體應用程式可在任何相容的運算裝置執行,例如智慧型手機。

問:虛擬 MFA 裝置與實體 MFA 裝置有何不同?
虛擬 MFA 裝置與實體 MFA 裝置使用相同的協定。虛擬 MFA 裝置以軟體為基礎,可在您現有的裝置上執行,例如智慧型手機。大多數虛擬 MFA 應用程式也允許您啟用多個虛擬 MFA 裝置,這讓它們比實體 MFA 裝置更方便。

問:哪些虛擬 MFA 應用程式可以與 AWS MFA 搭配使用?
可以產生 TOTP 相容身份驗證代碼的應用程式 (例如 Google Authenticator) 可與 AWS MFA 搭配使用。我們支援兩種虛擬 MFA 裝置佈建方法:一種是使用裝置相機掃描 QR 條碼自動佈建,另一種是透過虛擬 MFA 應用程式中的手動種子項目。

請瀏覽 MFA 頁面以取得支援的虛擬 MFA 應用程式清單。

問:什麼是 QR 條碼?
QR 條碼是二維條碼,可使用專用的 QR 條碼讀取器和大部分智慧型手機進行讀取。此條碼由白色背景和以黑色方形排列成的大型方形圖案組成。QR 條碼包含在虛擬 MFA 應用程式中佈建虛擬 MFA 裝置所需的安全設定資訊。

問:如何佈建新的虛擬 MFA 裝置?
您可以在 IAM 主控台為 IAM 使用者和 AWS 根帳戶設定新的虛擬 MFA 裝置。還可以在 AWS CLI 中使用 aws iam create-virtual-mfa-device 命令或使用 CreateVirtualMFADevice API,在您的帳戶下佈建新的虛擬 MFA 裝置。aws iam create-virtual-mfa-device 和 CreateVirtualMFADevice API 會傳回所需的組態資訊,這些資訊稱為種子,可在您的 AWS MFA 相容應用程式中設定虛擬 MFA 裝置。您可以授與 IAM 使用者直接呼叫此 API 的許可,或者為其執行初始佈建。

 

問:如何為虛擬 MFA 裝置處理和分配種子材料?
您應將種子材料視為與任何其他密碼一樣 (例如 AWS 私密金鑰和密碼)。

問:如何讓 IAM 使用者管理我帳戶下的虛擬 MFA 裝置?
授與 IAM 使用者呼叫 CreateVirtualMFADevice API 的許可。您可使用此 API 來佈建新的虛擬 MFA 裝置。

問:是否仍然可以申請 SMS MFA 的預覽存取?

我們不再接受新的 SMS MFA 預覽版參與者。建議您透過使用硬體或虛擬 MFA 裝置,在您的 AWS 帳戶使用 MFA。

問:如何開始在預覽版使用 SMS 選項?

如果您是現有的 SMS MFA 參與者,可以導覽到 IAM 主控台並為 IAM 使用者啟用 SMS MFA。這個程序需要輸入每個 IAM 使用者的電話號碼。接著,當 IAM 使用者登入 AWS 管理主控台時,該使用者會收到以標準 SMS 文字訊息傳送的六位數安全碼,而使用者必須在登入時輸入該安全碼。

問:從哪裡啟用 AWS MFA?
您可以在 IAM 主控台、AWS CLI 或透過呼叫 AWS API,為 AWS 帳戶和您的 IAM 使用者啟用 AWS MFA。

問:啟用硬體或虛擬身份驗證裝置需要哪些資訊?
如果透過 IAM 主控台啟用 MFA 裝置,只需要該裝置。如果使用 AWS CLI 或 IAM API,則需要以下資訊:

1. 身份驗證裝置的序號。序號的格式取決於您使用硬體裝置或虛擬裝置:

– 硬體 MFA 裝置:序號位於裝置背面的條碼標籤上。
– 虛擬 MFA 裝置:序號是在 AWS CLI 執行 iam-virtualmfadevicecreate 命令或呼叫 CreateVirtualMFADevice API 時傳回的 Amazon Resource Name (ARN) 值。

2. 身份驗證裝置顯示的兩個連續身份驗證代碼。

問:我的身份驗證裝置看起來執行正常,但我無法啟用它。我應該怎麼做?
聯絡我們取得協助。

問:如果我為 AWS 根帳戶或 IAM 使用者啟用 AWS MFA,他們是否需要一直使用身份驗證代碼登入 AWS 管理主控台?
是。AWS 根登入資料使用者和 IAM 使用者在任何時候需要登入任何 AWS 網站時,都需要使用自己的 MFA 裝置。

如果您的 MFA 裝置遺失、損壞、遭竊或故障,可使用其他身份驗證資訊登入、停用 MFA 裝置,然後啟用新的 MFA 裝置。我們建議的安全最佳實務是變更根帳戶的密碼。

使用虛擬和硬體 MFA 時,如果您的 IAM 使用者遺失或損壞了身份驗證裝置,或萬一裝置遭竊或停止運作,您可以使用 IAM 主控台或 AWS CLI 自行停用 AWS MFA。

問:如果我為 AWS 根帳戶或 IAM 使用者啟用 AWS MFA,他們是否需要輸入 MFA 代碼才能直接呼叫 AWS API?
否,這是選用的。不過,如果您要呼叫受到 MFA 保護的 API 存取所保護的 API,則需要輸入 MFA 代碼。

如果使用 AWS 根帳戶或 IAM 使用者存取金鑰呼叫 AWS API,則無須輸入 MFA 代碼。基於安全考量,我們建議您移除 AWS 根帳戶的所有存取金鑰,改為使用具有所需許可的 IAM 使用者存取金鑰呼叫 AWS API。

問:如何使用身份驗證裝置登入 AWS 入口網站和 AWS 管理主控台?
請按照以下兩個步驟進行:

如果您使用 AWS 根帳戶的身分登入,可在看到提示時輸入 使用者名稱 和密碼照常登入。若要以 IAM 使用者的身分登入,請使用帳戶專屬的 URL 並在看到提示時提供 使用者名稱 和密碼。

在下一頁輸入身份驗證裝置上顯示的六位數身份驗證代碼。

問:AWS MFA 是否會影響我使用 AWS 服務 API 的方式?
只在帳戶管理員選擇啟用 MFA 保護的 API 存取時,AWS MFA 才會變更 IAM 使用者存取 AWS 服務 API 的方式。管理員可啟用此功能,透過要求該呼叫者使用 AWS MFA 裝置進行驗證,對存取敏感 API 新增額外的安全層。如需詳細資訊,請參閱 MFA 保護的 API 存取文件了解詳細資訊。

其他例外狀況包含 S3 PUT 儲存貯體版本控制、GET 儲存貯體版本控制和 DELETE 物件 API,可讓您要求 MFA 身份驗證以刪除或變更儲存貯體的版本控制狀態。如需詳細資訊,請參閱討論使用 MFA Delete 設定儲存貯體的 S3 文件,以了解詳細資訊。

對於所有其他案例,AWS MFA 目前不會變更您存取 AWS 服務 API 的方式。

問:是否可多次使用指定的身份驗證代碼?
否。基於安全考量,每個身份驗證代碼只能使用一次。

問:我最近因為身份驗證代碼遭拒,所以被要求重新同步身份驗證裝置。這會有問題嗎?
不會,有時會發生這種情況。AWS MFA 依賴身份驗證裝置中的時鐘與我們伺服器的時鐘同步。有時候這些時鐘會不同步。如果發生這種情況,當您使用身份驗證裝置登入以存取 AWS 網站或 AWS 管理主控台的安全頁面時,AWS 會請求您提供兩個連續的身份驗證代碼自動嘗試重新同步身份驗證裝置 (與啟用時的操作相同)。

問:我的身份驗證裝置看起來執行正常,但我無法用它登入 AWS 管理主控台。我應該怎麼做?
建議您針對 IAM 使用者登入資料重新同步 MFA 裝置。如果您已嘗試重新同步但仍然無法登入,則可使用其他身份驗證資訊登入並重設您的 MFA 裝置。如果仍然發生問題,請聯絡我們尋求協助。

問:我的身份驗證裝置遺失、損壞、遭竊或故障,現在無法登入 AWS 管理主控台。我應該怎麼做?
如果您的身份驗證裝置與 AWS 根帳戶關聯:

問:如何停用 AWS MFA?

要為 AWS 帳戶停用 AWS MFA,您可以使用安全登入資料頁面停用身份驗證裝置。要為 IAM 使用者停用 AWS MFA,您需要使用 IAM 主控台或 AWS CLI。

問:是否可在 GovCloud 中使用 AWS MFA?
是,您可以在 GovCloud 使用 AWS 虛擬 MFA 和硬體 MFA 裝置。

問:什麼是 MFA 保護的 API 存取?
MFA 保護的 API 存取是選用功能,可讓帳戶管理員透過要求使用者提供密碼以外的第二身份驗證要素,為客戶指定的 API 強制執行其他身份驗證。特別是管理員可透過此功能在其 IAM 政策中加入條件,以檢查並要求 MFA 身份驗證來存取所選的 API。呼叫這些 API 的使用者必須先取得臨時登入資料,該登入資料指出使用者輸入的是有效的 MFA 代碼。

問:MFA 保護的 API 存取可解決什麼問題?
客戶在過去可以要求使用 MFA 來存取 AWS 管理主控台,但無法對直接與 AWS 服務 API 互動的開發人員和應用程式強制執行 MFA 要求。MFA 保護的 API 存取可確保全面強制執行 IAM 政策,無論 存取 途徑為何。因此,您現在可以自己開發使用 AWS 的應用程式,並在呼叫功能強大的 API 或存取敏感資源之前提示使用者進行 MFA 身份驗證。

問:如何開始使用 MFA 保護的 API 存取?
您可以透過兩個簡單步驟開始著手:

  1. 指派 MFA 裝置給 IAM 使用者。您可以為智慧型手機、平板電腦或電腦購買硬體金鑰包或下載免費的 TOTP 相容應用程式。請參閱 MFA 詳細資訊頁面了解有關 AWS MFA 裝置的更多資訊。
  2. 透過為您希望要求 MFA 身份驗證的 IAM 使用者和/或 IAM 群組建立許可政策,以啟用 MFA 保護的 API 存取。要進一步了解有關存取原則語言語法,請參閱存取政策語言文件

問:開發人員和使用者如何存取受到 MFA 保護的 API 存取所保護的 API 和資源?
開發人員和使用者可在 AWS 管理主控台以及 API,和受 MFA 保護的 API 存取互動。

在 AWS 管理主控台中,任何啟用 MFA 的 IAM 使用者都必須透過其裝置驗證才能登入。沒有 MFA 的使用者將無法取得 MFA 保護的 API 和資源的存取權限。

在 API 等級,開發人員可將 AWS MFA 整合到應用程式中,以便在呼叫功能強大的 API 或存取敏感資源之前提示使用者使用其指派的 MFA 裝置進行驗證。開發人員透過將選用 MFA 參數 (序號和 MFA 代碼) 新增到請求,取得臨時安全登入資料 (這種請求也稱為「會話請求」),以啟用此功能。如果參數有效,將會傳回指出 MFA 狀態的臨時安全登入資料。請參閱臨時安全登入資料文件了解更多資訊。

問:誰可以使用 MFA 保護的 API 存取?
所有 AWS 客戶都可以免費使用 MFA 保護的 API 存取。

問:MFA 保護的 API 存取可用於哪些服務?
支援臨時安全登入資料的所有 AWS 服務都可支援 MFA 保護的 API 存取。如需支援的服務清單,請參閱 AWS Services that Work with IAM,並查看標示為 Supports temporary security credentials 的欄。

問:如果使用者在請求臨時安全登入資料時提供錯誤的 MFA 裝置資訊,會發生什麼情況?
發出臨時安全登入資料的請求會失敗。指定 MFA 參數的臨時安全登入資料請求必須提供連結到 IAM 使用者的正確裝置序號以及有效的 MFA 代碼。

問:MFA 保護的 API 存取是否控制 AWS 根帳戶的 API 存取?
否,MFA 保護的 API 存取只控制 IAM 使用者的存取。根帳戶不受 IAM 政策約束,這也是我們建議您建立 IAM 使用者 (而不是使用 AWS 根帳戶登入資料) 與 AWS 服務 API 互動的原因。

問:使用者是否必須有指派的 MFA 裝置才能使用 MFA 保護的 API 存取?
是,使用者必須先獲指派唯一的硬體或虛擬 MFA 裝置。

問:MFA 保護的 API 存取是否與 S3 物件、SQS 佇列以及 SNS 主題相容?
是。

問:MFA 保護的 API 存取如何與現有的 MFA 使用案例 (例如,S3 MFA Delete) 互動?
MFA 保護的 API 存取與 S3 MFA Delete 彼此不會互動。S3 MFA Delete 目前不支援臨時安全登入資料。要呼叫 S3 MFA Delete API 必須使用長期存取金鑰。

問:MFA 保護的 API 存取是否可在 GovCloud (US) 區域中運作?
是。

問:MFA 保護的 API 存取是否適用於聯合身分使用者?
客戶不能使用 MFA 保護的 API 存取來控制聯合身分使用者的存取。GetFederatedSession API 不接受 MFA 參數。由於聯合身分使用者無法透過 AWS MFA 裝置進行驗證,因此他們無法存取那些使用 MFA 保護的 API 存取所指定的資源。

問:使用 AWS IAM 如何計費?

IAM 是 AWS 帳戶的一項功能,並不收取其他費用。您只需支付使用者使用其他 AWS 服務的費用。