View a markdown version of this page

AWS 使用者體驗自訂如何與 IAM 搭配使用 - AWS 管理主控台
身分型政策政策動作政策資源臨時憑證疑難排解

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 使用者體驗自訂如何與 IAM 搭配使用

AWS 使用者體驗自訂 (UXC) 與 IAM 政策搭配使用,以管理對 UXC API 操作的存取。

在您使用 IAM 管理 AWS 使用者體驗自訂 (使用者體驗自訂) 的存取權之前,請先了解哪些 IAM 功能可與使用者體驗自訂搭配使用。我們建議您透過 AWS 受管政策與使用者體驗自訂整合,如需詳細資訊,請參閱 AWS 的 受管政策 AWS 管理主控台

在您使用 IAM 管理使用者體驗自訂的存取權之前,請先了解哪些 IAM 功能可與使用者體驗自訂搭配使用。

IAM 功能 使用者體驗自訂支援

身分型政策

資源型政策

政策動作

政策資源

政策條件索引鍵

臨時憑證

跨服務主體許可

服務連結角色

服務角色

若要全面了解使用者體驗自訂和其他 AWS 服務如何與大多數 IAM 功能搭配使用,請參閱《IAM 使用者指南》中的AWS 與 IAM 搭配使用的 服務

使用者體驗自訂的身分型政策

身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《IAM 使用者指南》中的透過客戶管理政策定義自訂 IAM 許可

使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素參考

若要檢視使用者體驗自訂身分型政策的範例,請參閱AWS 使用者體驗自訂的身分型政策範例

使用者體驗自訂的政策動作

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作

JSON 政策的 Action 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。

若要查看所有使用者體驗自訂動作,請參閱 API 參考

使用者體驗自訂中的政策動作會在動作之前使用 uxc:字首 (例如 uxc:GetAccountCustomizations)。

若要在單一陳述式中指定多個動作,請用逗號分隔:

"Action": [
      "uxc:GetAccountCustomizations",
      "uxc:ListServices"
         ]

若要檢視使用者體驗自訂身分型政策的範例,請參閱AWS 使用者體驗自訂的身分型政策範例

使用者體驗自訂的政策資源

使用者體驗自訂不支援政策資源。

將臨時登入資料與使用者體驗自訂搭配使用

臨時登入資料提供對 AWS 資源的短期存取,並在您使用聯合或切換角色時自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 中的臨時安全憑證可與 IAM 搭配運作的AWS 服務

疑難排解 AWS 使用者體驗自訂身分和存取

使用以下資訊來協助您診斷和修正使用 使用者體驗自訂和 IAM 時可能遇到的常見問題。

如果您收到錯誤,告知您未獲授權執行動作,您的政策必須更新,允許您執行動作。

下列範例錯誤會在mateojackson IAM 使用者嘗試使用主控台檢視一個虛構 my-example-widget 資源的詳細資訊,但卻無虛構 uxc:GetWidget 許可時發生。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: uxc:GetWidget on resource: my-example-widget because no identity-based policy allows the GetWidget action

在此情況下,必須更新 mateojackson 使用者的政策,允許使用 uxc:GetWidget 動作存取 my-example-widget 資源。

如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。

在您建立 IAM 使用者存取金鑰後,您可以隨時檢視您的存取金鑰 ID。但是,您無法再次檢視您的私密存取金鑰。若您遺失了密碼金鑰,您必須建立新的存取金鑰對。

存取金鑰包含兩個部分:存取金鑰 ID (例如 AKIAIOSFODNN7EXAMPLE) 和私密存取金鑰 (例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。如同使用者名稱和密碼,您必須一起使用存取金鑰 ID 和私密存取金鑰來驗證您的請求。就如對您的使用者名稱和密碼一樣,安全地管理您的存取金鑰。

重要

請勿將您的存取金鑰提供給第三方,甚至是協助尋找您的標準使用者 ID。透過這樣做,您可以讓某人永久存取您的 AWS 帳戶。

建立存取金鑰對時,您會收到提示,要求您將存取金鑰 ID 和私密存取金鑰儲存在安全位置。私密存取金鑰只會在您建立它的時候顯示一次。若您遺失了私密存取金鑰,您必須將新的存取金鑰新增到您的 IAM 使用者。您最多可以擁有兩個存取金鑰。若您已有兩個存取金鑰,您必須先刪除其中一個金鑰對,才能建立新的金鑰對。若要檢視說明,請參閱《IAM 使用者指南》中的管理存取金鑰

若要允許其他人存取使用者體驗自訂,您必須將許可授予需要存取的人員或應用程式。如果您使用 AWS IAM Identity Center 管理人員和應用程式,您可以將許可集指派給使用者或群組,以定義其存取層級。許可集會自動建立 IAM 政策,並將其指派給與該人員或應用程式相關聯的 IAM 角色。如需詳細資訊,請參閱AWS IAM Identity Center 《 使用者指南》中的許可集

如果您不是使用 IAM Identity Center,則必須為需要存取的人員或應用程式建立 IAM 實體 (使用者或角色)。然後,您必須將政策連接到實體,在使用者體驗自訂中授予他們正確的許可。授予許可後,請將登入資料提供給使用者或應用程式開發人員。他們將使用這些登入資料來存取 AWS。若要進一步了解如何建立 IAM 使用者、群組、政策和許可,請參閱《IAM 使用者指南》中的 IAM 身分政策和許可