本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 使用者體驗自訂如何與 IAM 搭配使用
<a name="security_iam_service-with-iam"></a>

AWS 使用者體驗自訂 (UXC) 與 IAM 政策搭配使用，以管理對 UXC API 操作的存取。

在您使用 IAM 管理 AWS 使用者體驗自訂 （使用者體驗自訂） 的存取權之前，請先了解哪些 IAM 功能可與使用者體驗自訂搭配使用。我們建議您透過 AWS 受管政策與使用者體驗自訂整合，如需詳細資訊，請參閱 [AWS 的 受管政策 AWS 管理主控台](security-iam-awsmanpol.md)。

在您使用 IAM 管理使用者體驗自訂的存取權之前，請先了解哪些 IAM 功能可與使用者體驗自訂搭配使用。


| IAM 功能 | 使用者體驗自訂支援 | 
| --- | --- | 
|  [身分型政策](#security_iam_service-with-iam-id-based-policies)  |   是  | 
|  資源型政策  |   否   | 
|  [政策動作](#security_iam_service-with-iam-id-based-policies-actions)  |   是  | 
|  政策資源  |   否   | 
|  政策條件索引鍵  |   否   | 
|  [臨時憑證](#security_iam_service-with-iam-roles-tempcreds)  |   是  | 
|  跨服務主體許可  |   否   | 
|  服務連結角色  |   否   | 
|  服務角色  |   否   | 

若要全面了解使用者體驗自訂和其他 AWS 服務如何與大多數 IAM 功能搭配使用，請參閱《IAM *使用者指南*》中的[AWS 與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

## 使用者體驗自訂的身分型政策
<a name="security_iam_service-with-iam-id-based-policies"></a>

身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策，請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。

使用 IAM 身分型政策，您可以指定允許或拒絕的動作和資源，以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素，請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

若要檢視使用者體驗自訂身分型政策的範例，請參閱[AWS 使用者體驗自訂的身分型政策範例](security_iam_id-based-policy-examples.md)。

## 使用者體驗自訂的政策動作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。

若要查看所有使用者體驗自訂動作，請參閱 [API 參考](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/APIReference/Welcome.html)。

使用者體驗自訂中的政策動作會在動作之前使用 `uxc:`字首 （例如 `uxc:GetAccountCustomizations`)。

若要在單一陳述式中指定多個動作，請用逗號分隔：

```
"Action": [
      "uxc:GetAccountCustomizations",
      "uxc:ListServices"
         ]
```

若要檢視使用者體驗自訂身分型政策的範例，請參閱[AWS 使用者體驗自訂的身分型政策範例](security_iam_id-based-policy-examples.md)。

## 使用者體驗自訂的政策資源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

使用者體驗自訂不支援政策資源。

## 將臨時登入資料與使用者體驗自訂搭配使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

臨時登入資料提供對 AWS 資源的短期存取，並在您使用聯合或切換角色時自動建立。 AWS 建議您動態產生臨時登入資料，而不是使用長期存取金鑰。如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

## 疑難排解 AWS 使用者體驗自訂身分和存取
<a name="security_iam_troubleshoot"></a>

使用以下資訊來協助您診斷和修正使用 使用者體驗自訂和 IAM 時可能遇到的常見問題。

如果您收到錯誤，告知您未獲授權執行動作，您的政策必須更新，允許您執行動作。

下列範例錯誤會在`mateojackson` IAM 使用者嘗試使用主控台檢視一個虛構 `my-example-widget` 資源的詳細資訊，但卻無虛構 `uxc:GetWidget` 許可時發生。

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: uxc:GetWidget on resource: my-example-widget because no identity-based policy allows the GetWidget action 
```

在此情況下，必須更新 `mateojackson` 使用者的政策，允許使用 `uxc:GetWidget` 動作存取 `my-example-widget` 資源。

如果您需要協助，請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。

在您建立 IAM 使用者存取金鑰後，您可以隨時檢視您的存取金鑰 ID。但是，您無法再次檢視您的私密存取金鑰。若您遺失了密碼金鑰，您必須建立新的存取金鑰對。

存取金鑰包含兩個部分：存取金鑰 ID (例如 `AKIAIOSFODNN7EXAMPLE`) 和私密存取金鑰 (例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)。如同使用者名稱和密碼，您必須一起使用存取金鑰 ID 和私密存取金鑰來驗證您的請求。就如對您的使用者名稱和密碼一樣，安全地管理您的存取金鑰。

**重要**  
請勿將您的存取金鑰提供給第三方，甚至是協助[尋找您的標準使用者 ID](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId)。透過這樣做，您可以讓某人永久存取您的 AWS 帳戶。

建立存取金鑰對時，您會收到提示，要求您將存取金鑰 ID 和私密存取金鑰儲存在安全位置。私密存取金鑰只會在您建立它的時候顯示一次。若您遺失了私密存取金鑰，您必須將新的存取金鑰新增到您的 IAM 使用者。您最多可以擁有兩個存取金鑰。若您已有兩個存取金鑰，您必須先刪除其中一個金鑰對，才能建立新的金鑰對。若要檢視說明，請參閱《IAM 使用者指南》中的[管理存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。

若要允許其他人存取使用者體驗自訂，您必須將許可授予需要存取的人員或應用程式。如果您使用 AWS IAM Identity Center 管理人員和應用程式，您可以將許可集指派給使用者或群組，以定義其存取層級。許可集會自動建立 IAM 政策，並將其指派給與該人員或應用程式相關聯的 IAM 角色。如需詳細資訊，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。

如果您不是使用 IAM Identity Center，則必須為需要存取的人員或應用程式建立 IAM 實體 （使用者或角色）。然後，您必須將政策連接到實體，在使用者體驗自訂中授予他們正確的許可。授予許可後，請將登入資料提供給使用者或應用程式開發人員。他們將使用這些登入資料來存取 AWS。若要進一步了解如何建立 IAM 使用者、群組、政策和許可，請參閱《IAM **[使用者指南》中的 IAM 身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)和[政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。