本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立 IAM 使用者以進行緊急存取
<a name="getting-started-emergency-iam-user"></a>

*[IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是 中的身分 AWS 帳戶 ，具有單一人員或應用程式的特定許可。

讓 IAM 使用者進行緊急存取是建立 IAM 使用者的建議原因之一，以便在身分提供者無法存取 AWS 帳戶 時存取您的 。

**注意**  
我們的安全[最佳實務](best-practices.md)是建議您透過聯合身分來提供資源存取權限，而不是建立 IAM 使用者。若要了解需要 IAM 使用者的特定情形，請參閱[建立 IAM 使用者 (而非角色) 的時機](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose)。

## 若要建立 IAM 使用者以進行緊急存取
<a name="getting-started-emergency-iam-user-section-1"></a>

**最低許可**  
若要執行下列步驟，您至少必須擁有下列 IAM 許可：  
`access-analyzer:ValidatePolicy`
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateGroup`
`iam:CreateLoginProfile`
`iam:CreateUser`
`iam:GetAccountPasswordPolicy`
`iam:GetLoginProfile`
`iam:GetUser`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListPolicies`
`iam:ListUserPolicies`
`iam:ListUsers`

------
#### [ Console ]<a name="gs-proc-iam-user-user"></a>

1. 按照《AWS ‭‬ 登入使用者指南》‭‬**[如何登入 AWS‭‬](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 主題中適合您使用者類型的登入程序操作。

1. 在 **IAM 主控台首頁**的左側導覽窗格中，在**搜尋 IAM** 文字方塊中輸入查詢。

1. 在導覽窗格中選取**使用者**，然後選取**建立使用者**。
**注意**  
如果您已啟用 IAM Identity Center，則 AWS 管理主控台 會顯示提醒，指出最好在 IAM Identity Center 中管理使用者的存取權。在此程序中，您建立的 IAM 使用者專門用於身分提供者無法使用的時機。

1. 在**指定使用者詳細資訊**頁面**使用者詳細資訊**下方的**使用者名稱**中，輸入新使用者的名稱。這是新使用者的 AWS登入名稱。在此範例中，請輸入 **EmergencyAccess**。
**注意**  
使用者名稱可以是長達 64 個字母、數字以及這些字元的組合：加號 (\+)、等號 (=)、逗號 (,)、句號 (.)、@ 符號、底線 (\_) 以及連字號 (-)。名稱在帳戶中必須是唯一的。它們無法透過大小寫進行區分。例如，您不可以建立兩個名為 TESTUSER 和 testuser 的使用者。使用者名稱用在政策中或作為 ARN 的一部分時，名稱區分大小寫。當主控台中的客戶顯示使用者名稱時 (例如在登入程序期間)，使用者名稱不區分大小寫。

1. 選取**為使用者提供 AWS 管理主控台存取權 (*選用*)** 旁的核取方塊，然後選擇**我想要建立 IAM 使用者**。

1. 在**主控台密碼**下選取**自動產生的密碼**。

1. 清除**使用者必須在下次登入時建立新密碼 (建議)** 旁的核取方塊。由於此 IAM 使用者是用於緊急存取，因此受信任的管理員會保留密碼，並僅在必要時提供密碼。

1. 在 **設定許可** 頁面的 **許可選項** 下方選取 **新增使用者至群組**。然後，在 **使用者群組** 下方選取 **建立群組**。

1. 在 **建立使用者群組** 頁面的 **使用者群組名稱** 中輸入**EmergencyAccessGroup**。然後，在**許可政策**下方選取 **AdministratorAccess**。

1. 選取**建立使用者群組**以返回**設定許可**頁面。

1. 在**使用者群組**下方選取先前建立的 **EmergencyAccessGroup** 的名稱。

1. 選取**下一步**以繼續前往**檢閱和建立**頁面。

1. 在**檢閱和建立**頁面上檢閱要新增至新使用者的使用者群組成員資格清單。準備好繼續時，請選取**建立使用者**。

1. 在**擷取密碼**頁面上選取**下載 .csv 檔案**，以儲存含有使用者憑證資訊 (連線 URL、使用者名稱和密碼) 的 .csv 檔案。

1. 如果您需要登入 IAM 且無法存取身分提供者，請儲存此檔案以供使用。

新的 IAM 使用者會顯示在**使用者**清單中。選取**使用者名稱**連結以檢視使用者詳細資訊。

------
#### [ AWS CLI ]

1. 建立名為 **EmergencyAccess** 的使用者。
   + [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)

   ```
   aws iam create-user \
      --user-name EmergencyAccess
   ```

1. (選用) 提供使用者 AWS 管理主控台存取權。這需要密碼。若要為 IAM 使用者建立密碼，可以使用 `--cli-input-json` 參數來傳遞包含密碼的 JSON 檔案。還必須為使用者提供[您的帳戶登入頁面的 URL。](id_users_sign-in.md)
   +  [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)

     ```
      
     aws iam create-login-profile \
        --generate-cli-skeleton > create-login-profile.json
     ```
   + 在文字編輯器中開啟 `create-login-profile.json` 檔案並輸入符合密碼政策的密碼，然後儲存檔案。例如：

     ```
     {
      "UserName": "EmergencyAccess",
      "Password": "Ex@3dRA0djs",
      "PasswordResetRequired": false
     }
     ```
   + 再次使用 `aws iam create-login-profile` 命令，傳遞 `--cli-input-json` 參數以指定您的 JSON 檔案。

     ```
     aws iam create-login-profile \
        --cli-input-json file://create-login-profile.json
     ```
**注意**  
如果在 JSON 檔案中提供的密碼違反帳戶的密碼政策，您會收到 `PasswordPolicyViolation` 錯誤。如果發生這種情況，請檢閱您帳戶的[密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html#default-policy-details)，並依循要求更新 JSON 檔案中的密碼。

1. 建立 **EmergencyAccessGroup**，將 AWS 受管政策連接至 `AdministratorAccess` 群組，並將**EmergencyAccess**使用者新增至 群組。
**注意**  
「AWS 受管政策」**為獨立的政策，由 AWS建立並管理。每個政策都有自己的 Amazon Resource Name (ARN)，其中包含政策名稱。例如， `arn:aws:iam::aws:policy/IAMReadOnlyAccess` 是 AWS 受管政策。如需有關 ARN 的詳細資訊，請參閱 [IAM ARN](reference_identifiers.md#identifiers-arns)。如需 的 AWS 受管政策清單 AWS 服務，請參閱 [AWS 受管政策](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html)。
   + [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html) 

     ```
     aws iam create-group \
        --group-name EmergencyAccessGroup
     ```
   + [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)

     ```
     aws iam attach-group-policy \
        --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
        --group-name >EmergencyAccessGroup
     ```
   + [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html) 

     ```
     aws iam add-user-to-group \
        --user-name EmergencyAccess \
        --group-name EmergencyAccessGroup
     ```
   + 執行 [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) 命令會列出 **EmergencyAccessGroup** 及其成員。

     ```
     aws iam get-group \
        --group-name EmergencyAccessGroup
     ```

------