本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Global Accelerator 的 Identity and Access Management
AWS Identity and Access Management (IAM) 是一種 AWS 服務,可協助管理員安全地控制對 AWS 資源的存取,包括 AWS Global Accelerator 資源。管理員使用 IAM 控制誰是*身分驗證*(已登入) 和*已授權*(具有權限) 來使用全域加速器資源。IAM 是 AWS 帳戶內含的一項功能,無須額外付費。
**重要**
如果您不熟悉 IAM,請檢閱此頁面的入門資訊,然後參閱[入門 IAM](auth_access_overview.md#auth_access_getting-started)。或者,您可以進一步了解身份驗證和存取控制,方法是檢視[什麼是身分驗證?](auth_access_overview.md#auth_access_what-is-authentication)、[什麼是存取控制?](auth_access_overview.md#auth_access_what-is-access-control),以及[什麼是政策?](auth_access_overview.md#auth_access_what-are-policies)。
**主題**
+ [概念與術語](#auth_access_introduction)
+ [主控台存取、驗證管理和存取控制所需的權限](#auth_access_required-permissions)
+ [瞭解全球加速器如何搭配 IAM 使用](#auth_access_service-with-iam)
+ [驗證與存取控制疑難排解](#auth_access_troubleshoot)
## 概念與術語
**身分驗證**— 若要登入 AWS,您必須使用以下登入資料:根使用者登入資料 (不建議)、IAM 使用者登入資料,或使用 IAM 角色的臨時登入資料。若要進一步了解這些實體,請參閱[什麼是身分驗證?](auth_access_overview.md#auth_access_what-is-authentication)。
**存取控制**— AWS 管理員使用政策來控制對 AWS 資源的存取,例如全球加速器中的加速器。如需進一步了解,請參閱[什麼是存取控制?](auth_access_overview.md#auth_access_what-is-access-control)和[什麼是政策?](auth_access_overview.md#auth_access_what-are-policies)。
**重要**
帳戶內的所有資源由帳戶擁有,無論這些資源的建立者是誰。您必須取得存取權以建立資源。然而,即使是您建立的資源也不表示您會自動擁有存取該資源的完整存取權。管理員必須對您要執行的每個動作明確授與許可。該管理員也可以隨時撤銷您的許可。
為了協助您了解 IAM 運作方式的基本知識,請檢閱以下詞彙:
**資源**
AWS 服務 (例如全域加速器和 IAM) 通常包含稱為資源的物件。在大多數情況下,您可以從服務中建立、管理和刪除這些資源。IAM 資源包括使用者、群組、角色和政策:
**使用者**
IAM 使用者代表使用登入資料與 AWS 互動的人員或應用程式。使用者由名稱、用於登入 AWS 管理主控台的密碼,以及最多兩個可與 AWS CLI 和 AWS API 一起使用的存取金鑰組成。
**群組**
IAM 群組是 IAM 使用者的集合。管理員可以使用群組來指定成員使用者的許可。這可讓管理員輕鬆管理多名使用者的許可。
**角色**
IAM 角色沒有任何與之關聯的長期登入資料 (密碼或存取金鑰)。任何需要角色且擁有許可的人員皆可擔任該角色。IAM 使用者可擔任一個角色,為了特定任務來臨時採用不同許可。聯合身分使用者可以使用對應到角色的外部身分供應商來擔任該角色。某些 AWS 服務可以假設*服務角色*以代您存取 AWS 資源。
**政策**
政策為 JSON 文件,可定義所連接的物件的許可。AWS Support*身分類型政策*您可以連接到身分 (使用者、群組或角色)。某些 AWS 服務允許您將*資源型政策*資源來控制委託人 (人員或應用程式) 可對該資源執行的操作。全域加速器不支援資源類型政策。
**身分**
身分是 IAM 資源,您可以為其定義許可。包括使用者、群組和角色。
**實體**
實體是您用於身份驗證的 IAM 資源。包括使用者和角色。
**Principals (委託人)**
在 AWS 中,委託人是使用實體登入並向 AWS 提出請求的人員或應用程式。身為委託人,您可以使用 AWS 管理主控台、AWS CLI 或 AWS API 來執行操作 (例如刪除加速器)。這會對該操作建立*請求*。您的請求指定*動作*、*資源*、*委託人*、*委託人帳戶*以及關於請求的任何其他資訊。所有這些資訊都為 AWS 提供*context*以取得您的請求。AWS 會檢查所有適用於請求內容的政策。只有在政策允許請求的每個部分時,AWS 才會授權該請求。
若要檢視驗證和存取控制程序的圖表,請參閱[了解 IAM 的運作方式](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html)中的*IAM 使用者指南*。如需 AWS 如何決定是否允許請求的詳細資訊,請參閱[Policy Evaluation Logic](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)中的*IAM 使用者指南*。
## 主控台存取、驗證管理和存取控制所需的權限
若要使用全球加速器或管理授權和為自己或他人存取控制,您必須擁有正確的許可。
### 建立全域加速器所需的權限
若要建立 AWS Global Accelerator 速器,使用者必須具有建立與全域加速器相關聯的服務連結角色的權限。
若要確保使用者具有在全域加速器中建立加速器的正確權限,請將原則附加至使用者,如下所示。
**注意**
如果您建立更嚴格的身分型許可政策,則具有該政策的使用者將無法建立加速器。
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "globalaccelerator.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*"
}
```
### 使用全域加速器主控台所需的許可
若要存取 AWS Global Accelerator 主控台,您必須擁有一組最基本的許可,讓您可以列出和檢視 AWS 帳戶中全球加速器資源的詳細資訊。如果您建立比最低必要許可更嚴格的身分類型許可政策,則對於具有該政策的實體而言,主控台將無法如預期運作。
為確保那些實體仍可使用全球加速器主控台或 API 動作,請也將以下 AWS 受管政策連接至使用者,如[在 JSON 標籤上建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor):
```
GlobalAcceleratorReadOnlyAccess
GlobalAcceleratorFullAccess
```
附加第一個原則,`GlobalAcceleratorReadOnlyAccess`,如果使用者只需要在主控台中檢視資訊,或呼叫使用`List*`或`Describe*`操作。
附加第二個原則,`GlobalAcceleratorFullAccess`,提供給需要建立或更新加速器的使用者。此完整存取政策包括*FULL*權限,以及*describe*權限和 Elastic Load Balancing。
**注意**
如果您建立的身分授權政策不包含 Amazon EC2 和 Elastic Load Balancing 所需的權限,則具有該政策的使用者將無法將 Amazon EC2 和 Elastic Load Balancing 資源新增到加速器。
以下是完整存取原則:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"globalaccelerator:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeSubnets",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSecurityGroup",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DescribeLoadBalancers",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
### 驗證管理所需的權限
若要管理自己的登入資料,例如密碼、存取金鑰和多重驗證 (MFA) 裝置,您的管理員必須授與您必要的許可。若要查看包含這些許可的政策,請參閱[允許使用者自行管理其認證](auth_access_overview.md#auth_access_manage-password-mfa)。
身為 AWS 管理員,您需要完整存取 IAM 的權限,您才能在 IAM 中建立和管理使用者、群組、角色和政策。您應該使用[AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)AWS 受管政策,其中包含對所有 AWS 的完整存取權。此政策不提供對 AWS Billing and Cost Management 主控台的存取權,也不允許需要 AWS 帳戶根使用者登入資料的任務。如需詳細資訊,請參閱「」[需要 AWS 帳戶根使用者登入資料的 AWS 任務](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)中的*AWS 一般參考資料*。
**警告**
只有管理員使用者應擁有 AWS 的完整存取權。使用此政策的任何人都有許可完全管理身分驗證和存取控制,以及修改 AWS 中的每個資源。若要了解如何建立此使用者,請參閱[建立 IAM 管理員使用者](auth_access_overview.md#auth_access_setup-iam-admin)。
### 存取控制所需的權限
如果管理員提供您 IAM 使用者登入資料,則管理員已將政策連接到 IAM 使用者來控制您可以存取哪些資源。若要在 AWS 管理主控台中檢視連接到使用者身分的政策,您必須擁有以下許可:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "ListUsersViewGroupsAndPolicies",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
如果您需要額外許可,請要求管理員更新您的政策,以允許您存取所需的動作。
## 瞭解全球加速器如何搭配 IAM 使用
服務可與 IAM 搭配運作,以多種方式:
**動作**
全域加速器支援在政策中使用動作。這可讓管理員控制實體是否可以在全域加速器中完成操作。例如,若要允許實體呼叫`GetPolicy`AWS API 操作來檢視政策,管理員必須附加允許`iam:GetPolicy`動作。
下列範例政策允許使用者執行`CreateAccelerator`操作以編程方式為您的 AWS 帳戶創建加速器:
```
{
"Version": "2018-08-08",
"Statement": [
{
"Effect": "Allow",
"Action": [
"globalaccelerator:CreateAccelerator"
],
"Resource":"*"
}
]
}
```
**資源層級許可**
全域加速器支援資源層級的許可。資源層級許可讓您可以使用 [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) 在政策中指定個別的資源。
**以資源為基礎的政策**
全域加速器不支援資源類型政策。使用以資源為基礎的政策,您可以將政策連接到服務內的資源。以資源為基礎的政策包括`Principal`元素來指定哪些 IAM 身分可以存取該資源。
**根據標籤的授權**
全域加速器支援授權型標籤。此功能可讓您在政策的條件中使用[資源標籤](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
**暫時性登入資料**
全域加速器支援臨時登入資料。使用暫時登入資料,您可以搭配聯合登入、擔任 IAM 角色,或是擔任跨帳戶角色。您取得暫時安全登入資料的方式是呼叫 AWS STS API 操作 (例如,[https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或[https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
**服務連結角色**
Global Accelerator 支援服務連結角色。此功能可讓服務代表您擔任[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。此角色可讓服務存取其他服務中的資源,以代表您完成動作。服務連結角色會顯示在您的 IAM 帳戶中,並由該服務所擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
**服務角色**
全域加速器不支援服務角色。此功能可讓服務代表您擔任[服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會出現在您的 IAM 帳戶中,且由該帳戶所擁有。這表示 IAM 管理員可以變更此角色的許可。不過,這可能會破壞此服務的功能。
## 驗證與存取控制疑難排解
請使用以下資訊來協助您診斷和修復使用 IAM 時發生的常見問題。
**Topics**
+ [我未獲授權,不得在全域加速器中執行動作](#auth_access_troubleshoot-no-permissions)
+ [我是管理員,想要允許其他人存取全域加速器](#auth_access_troubleshoot-admin-allow-access)
+ [我想要了解 IAM 而無需成為專家](#auth_access_troubleshoot-iam-expert)
### 我未獲授權,不得在全域加速器中執行動作
若 AWS 管理主控台告知您並未獲得執行動作的授權,您必須聯絡提供您使用者名稱和密碼的管理員。
下列範例會在名為`my-user-name`會嘗試使用主控台執行`globalaccelerator:CreateAccelerator`動作,但沒有權限:
```
User: arn:aws:iam::123456789012:user/my-user-name is not authorized to perform: aws-globalaccelerator:CreateAccelerator on resource: my-example-accelerator
```
在這種情況下,要求管理員更新您的政策,以允許您存取`my-example-accelerator`資源使用`aws-globalaccelerator:CreateAccelerator`動作。
### 我是管理員,想要允許其他人存取全域加速器
若要允許其他人存取全球加速器,您必須針對需要存取的人員或應用程式建立 IAM 實體 (使用者或角色)。他們將使用該實體的登入資料來存取 AWS。您接著必須將原則連線到實體,在全域加速器中授與正確的許可。
若要立即開始,請參閱[入門 IAM](auth_access_overview.md#auth_access_getting-started)。
### 我想要了解 IAM 而無需成為專家
若要進一步了解 IAM 詞彙、概念和程序,請參閱下列主題:
+ [什麼是身分驗證?](auth_access_overview.md#auth_access_what-is-authentication)
+ [什麼是存取控制?](auth_access_overview.md#auth_access_what-is-access-control)
+ [什麼是政策?](auth_access_overview.md#auth_access_what-are-policies)
## 標籤型政策
設計 IAM 政策時,您可能會透過授予對特定資源的存取來設定精密許可。隨著您管理的資源數量增加,此任務變得越來越困難。標記加速器並在政策陳述式條件中使用標籤,可讓此任務更輕鬆。您可以對具有特定標籤的任何加速器大量授予存取。然後,您會在建立加速器或稍後更新加速器時,對相關的加速器重複套用此標籤。
**注意**
在條件中使用標記是控制資源和請求的存取權限的方式之一。如需 Clobal Accelerator 標記功能的詳細資訊,請參閱[AWS Global Accelerator 中的標籤](tagging-in-global-accelerator.md)。
可以將標記連接到資源或在請求中將標記傳遞至支援標記的服務。在全域加速器中,只有加速器可以包含標籤。在建立 IAM 政策時,可使用標記條件鍵來控制以下項目:
+ 可在加速器上執行動作的使用者 (根據資料已具有的標記)。
+ 可在動作請求中傳遞的標記。
+ 是否可在請求中使用特定的標籤索引鍵。
關於標籤條件索引鍵的完整語法和語義,請參閱[使用 IAM 標籤控制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)中的*IAM 使用者指南*。
例如,全域加速器`GlobalAcceleratorFullAccess`受管使用者政策可提供使用者在任何資源上執行任何全域加速器動作的許可。以下政策會限制此能力,拒絕未授權的使用者許可,禁止在任何*生產*加速器。除了受管使用者政策之外,客戶的管理員必須將此 IAM 政策連接到未授權的 IAM 使用者。
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Action":"*",
"Resource":"*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:RequestTag/stage":"prod"
}
}
},
{
"Effect":"Deny",
"Action":"*",
"Resource":"*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:ResourceTag/stage":"prod"
}
}
}
]
}
```
# 的服務連結角色
AWS Global Accelerator 使用 AWS Identity and Access Management (IAM)[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至服務的一種特殊 IAM 角色類型。服務連結角色由服務預先定義,並包含該服務在代表您呼叫其他 AWS 服務時,需要用到的所有權限。
全域加速器使用以下 IAM 服務連結角色:
+ **全球加速器的 AWS 服務**— 全域加速器使用此角色來允許全域加速器建立及管理用戶端 IP 位址保留所需的資源。
當第一次需要此角色才能支援全域加速器 API 作業時,全域加速器會自動建立名為 AWsServices 為全域加速器的角色。「AWsServices 全域加速器」角色可讓「全域加速器」建立和管理用戶端 IP 位址保留所需的資源。在全域加速器中使用加速器時,需要此角色。AWSServiceRoleFor全球加速工具角色的 ARN 看起來類似如下:
`arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator`
服務連結角色可讓設定及使用全球加速器變得更輕鬆,因為您不必手動新增必要的許可。全球加速器會定義其服務連結角色的許可,且唯有全球加速器可以擔任此角色。已定義的許可包括信任政策和許可政策。許可原則無法附加到其他任何 IAM 實體。
您必須移除任何關聯的全域加速器資源,才能刪除服務連結角色。這有助於保護您的全域加速器資源,確保您不會移除在存取作用中資源時仍有需要的服務連結角色。
如需支援服務連結角色之其他服務的資訊,請參閱[與 IAM 搭配使用的 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)並尋找有**是**中的**服務連結角色**資料行。
## 的服務連結角色許可
全域加速器使用名為的服務連結角色**全球加速器的 AWS 服務**。下列小節說明角色的許可。
### 服務連結角色許可
此服務連結的角色可讓全域加速器管理 EC2 彈性網路介面和安全性群組,並協助診斷錯誤。
針對 AWSServiceRoleForCloForCloForCollControlForCloForCollControlForCollControlForCloForCloForClo
+ `globalaccelerator.amazonaws.com`
此角色許可政策允許全球加速器對指定資源完成下列動作,如政策所示:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeSubnets",
"ec2:DescribeRegions",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSecurityGroup",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DescribeLoadBalancers",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
您必須設定許可,讓 IAM 實體 (如使用者、群組或角色) 刪除全球加速器服務連結角色。如需詳細資訊,請參閱「」[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)中的*IAM 使用者指南*。
## 為建立全域加速器建立服務連結角色
您不需要手動建立全域加速工具的服務連結角色。服務會在您第一次建立加速器時,自動為您建立角色。若您移除全域加速器資源並刪除服務連結角色,則當您建立新的加速器時,服務將會自動重新建立角色。
## 編輯全域加速器服務連結角色
全域加速器不允許您編輯 AWSServiceRoleFor全域加速器服務連結角色。在此服務建立服務連結角色之後,您將無法變更該角色的名稱,因為各種實體皆可能會參考該角色。然而,您可使用 IAM 編輯角色的描述。如需詳細資訊,請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)中的*編輯服務連結角色*。
## 刪除全域加速器服務連結角色
如果您不再需要使用全域加速器,建議您刪除服務連結角色。如此一來,您就沒有非主動監控或維護的未使用實體。然而,您必須先清除您帳戶中的全球加速器資源,然後才能手動刪除這些角色。
停用並刪除您的加速程式後,您可以刪除服務連結角色。如需有關刪除加速器的詳細資訊,請參閱[建立或更新標準加速器](about-accelerators.creating-editing.md)。
**注意**
如果您已停用並刪除加速器,但是全球加速器未完成更新,則刪除服務連結角色的動作可能會失敗。如果發生此情況,請等候數分鐘,然後再次嘗試服務連結角色刪除步驟。
**手動刪除 AWSServiceRoleFor全球加速工具服務連結角色**
1. 登入 AWS 管理主控台,然後前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 IAM 主控台的導覽窗格中,選擇 **Roles (角色)**。然後,選擇您要刪除的角色名稱旁的核取方塊,而非名稱或資料列本身。
1. 在頁面頂端的 **Role (角色)** 動作中選擇 **Delete (刪除)** 角色。
1. 在確認對話方塊中,檢閱服務上次存取資料,以顯示每個所選取角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。如果您想要繼續進行,請選擇 **Yes, Delete (是,刪除)** 來提交服務連結角色以進行刪除。
1. 查看 IAM 主控台通知,監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步,所以在您提交角色進行刪除之後,刪除任務可能會成功或失敗。如需詳細資訊,請參閱「」[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)中的*IAM 使用者指南*。
## 全球加速器服務連結角色 (AWS 受管政策) 的更新
檢視自此服務開始追蹤這些變更後,服務連結角色更新的詳細資料。如需有關此頁面變更的自動警示,請在 AWS Global Accelerator 上訂閱 RSS 摘要[文件歷史記錄](WhatsNew.md)(憑證已建立!) 頁面上的名稱有些許差異。
| 變更 | 描述 | 日期 |
| --- | --- | --- |
| [全球加速器的 AWS 服務](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSServiceRoleForGlobalAccelerator)— 已更新政策 | 全域加速器新增了新的權限,以協助全域加速器診斷錯誤。 Global Accelerator`ec2:DescribeRegions`以判斷客戶所在的 AWS 區域,這可協助全球加速器疑難排解錯誤。 | 2021 年 5 月 18 日 |
| 全球加速器開始追蹤變更 | 全球加速器開始追蹤其 AWS 受管政策的變更。 | 2021 年 5 月 18 日 |
## 全域加速器服務連結角色的支援區域
全球加速器支援在支援全球加速器的 AWS 區域中,使用服務連結角色。
如需目前支援全球加速器和其他服務的 AWS 區域清單,請參閱[AWS 區域表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
# 存取和驗證概觀
如果您是 IAM 的新手,請閱讀下列主題來開始在 AWS 中授權和存取。
**Topics**
+ [什麼是身分驗證?](#auth_access_what-is-authentication)
+ [什麼是存取控制?](#auth_access_what-is-access-control)
+ [什麼是政策?](#auth_access_what-are-policies)
+ [入門 IAM](#auth_access_getting-started)
## 什麼是身分驗證?
身份驗證是使用登入資料登入 AWS 的方式。
**注意**
若要快速開始使用,您可以忽略此部分。首先,檢閱上的入門資訊[AWS Global Accelerator 的 Identity and Access Management](auth-and-access-control.md),然後參閱[入門 IAM](#auth_access_getting-started)。
作為委託人,您必須*身分驗證*(登入至 AWS),使用實體 (根使用者、IAM 使用者或 IAM 角色) 將請求傳送至 AWS。IAM 使用者可有長期登入資料 (例如,使用者名稱和密碼或一組存取金鑰)。擔任 IAM 角色時,您會取得臨時安全登入資料。
若要從 AWS 管理主控台以使用者身分進行驗證,您必須使用您的使用者名稱和密碼登入。若要從 AWS CLI 或 AWS API 取得身分驗證,您必須提供存取金鑰和私密金鑰或臨時登入資料。AWS 提供開發套件和 CLI 工具,以密碼編譯方式使用登入資料簽署您的請求。如果您未使用 AWS 工具,則必須自行簽署請求。無論您使用何種身份驗證方法,您可能還需要提供額外的安全性資訊。例如,AWS 建議您使用多重驗證 (MFA) 來提高帳戶的安全性。
身為委託人,您可以使用以下實體 (使用者或角色) 登入 AWS:
**AWS 帳戶根使用者**
當您首次建立 AWS 帳戶,您會先有單一的登入身分,可以完整存取帳戶中所有 AWS 服務與資源。此身分稱為 AWS 帳戶「根使用者」**,是藉由您用來建立帳戶的電子郵件地址和密碼以登入並存取。強烈建議您不要以根使用者處理日常作業,即使是管理作業。反之,請遵循[僅以根使用者建立您第一個 &IAM; 使用者的最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)。接著請妥善鎖定根使用者登入資料,只用來執行少數的帳戶與服務管理作業。
**IAM 使用者**
A[IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是 AWS 帳戶內具備特定許可的實體。支援 Global Acceler*簽章版本 4*,這是用來驗證傳入 API 請求的協定。如需有關驗證請求的詳細資訊,請參閱[簽章版本 4 簽章程序](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)中的*AWS 一般參考資料*。
**IAM 角色**
A[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您可以在帳戶中建立的 IAM 身分,具有特定許可。IAM 角色類似於 IAM 使用者,因為同樣是 AWS 身分,也有許可政策可決定該身分在 AWS 中可執行和不可執行的操作。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性登入資料。使用臨時登入資料的 IAM 角色在下列情況中非常有用:
**聯合身分使用者存取**
非建立 IAM 使用者,而是使用來自 AWS Directory Service、您的企業使用者目錄或 Web 身分供應商的現有身分。這些稱為「聯合身分使用者」**。透過[身份供應商](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)請求存取時,AWS 會將角色指派給聯合身份使用者。如需聯合身分使用者的詳細資訊,請參閱[聯合身分使用者和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)中的*IAM 使用者指南*。
**暫時使用者權限**
IAM 使用者可擔任一個角色,為了特定任務來採用不同許可。
**跨帳戶存取**
您可以使用 IAM 角色,允許不同帳戶中信任的委託人存取您帳戶的資源。角色是授予跨帳戶存取的主要方式。但是,針對某些 AWS 服務,您可以將政策直接連接到資源 (而非使用角色做為代理)。全域加速工具不支援這些資源類型政策。有關選擇使用角色或資源型政策,以允許跨帳戶存取的詳細資訊,請參閱[控制對不同帳戶中委託人的存取](#auth_access_controlling-principal-accounts)。
**AWS 服務存取**
服務角色是[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)服務會擔任代表您執行動作。服務角色提供的存取權僅限在您的帳戶內,不能用來授予存取其他帳戶中的服務。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱「」[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)中的*IAM 使用者指南*。
**在 Amazon EC2 上執行的應用程式**
針對在 EC2 執行個體上執行並提出 AWS CLI 和 AWS API 請求的應用程式,您可以使用 IAM 角色來管理臨時登入資料。這是在 EC2 執行個體內存放存取金鑰的較好方式。若要指派 AWS 角色給 EC2 執行個體並提供其所有應用程式使用,您可以建立連接到執行個體的執行個體描述檔。執行個體描述檔包含該角色,並且可讓 EC2 執行個體上執行的程式取得臨時登入資料。如需詳細資訊,請參閱「」[使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)中的*IAM 使用者指南*。
## 什麼是存取控制?
在您登入 (通過驗證) AWS 後,您對 AWS 資源和操作的存取會受政策管制。存取控制也稱為授權。
**注意**
若要快速開始使用,您可以忽略此頁面。首先,檢閱上的入門資訊[AWS Global Accelerator 的 Identity and Access Management](auth-and-access-control.md),然後參閱[入門 IAM](#auth_access_getting-started)。
在授權期間,AWS 會使用來自[請求內容](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure-request.html)以檢查套用的政策。接著使用政策以決定是否允許或拒絕請求。大多數的政策儲存在 AWS 中做為 JSON 文件,並指定允許或拒絕委託人的許可。如需 JSON 政策文件的結構和內容的詳細資訊,請參閱[什麼是政策?](#auth_access_what-are-policies)。
政策可讓管理員指定哪些使用者有權存取 AWS 資源,以及他們可以對這些資源執行哪些操作。每個 IAM 實體 (使用者或角色) 在開始時都沒有許可。換言之,在預設狀態下,使用者無法執行任何動作,甚至不能查看自己的存取金鑰。若要授予使用者執行動作的許可,管理員必須將許可政策連接到使用者。或者,可以將使用者加入到具有預期的許可的群組中。管理員將許可給予群組時,群組內的全部使用者都會獲得那些許可。
您可以透過有效登入資料來驗證您的請求,但還須管理員授與許可才能建立或存取 AWS Global Accelerator 資源。例如,您必須具有明確許可才能建立 AWS Global Accelerator。
做為管理員,您可以編寫政策以控制存取下列項目:
+ **[Principals (委託人)](#auth_access_controlling-principals)**— 控制發出請求的人員或應用程式 (*委託人*)被允許這樣做。
+ **[IAM 身分識別](#auth_access_controlling-identities)**— 控制哪些 IAM 身分 (群組、使用者與角色) 可被存取以及存取的方法。
+ **[IAM 政策](#auth_access_controlling-policies)**-控制哪些使用者可以建立、編輯和刪除客戶受管政策,以及哪些使用者可以連接和分離所有受管政策。
+ **[AWS 資源](#auth_access_controlling-resources)**— 控制哪些使用者有權使用以身分為基礎的政策或以資源為基礎的政策來存取資源。
+ **[AWS 帳戶](#auth_access_controlling-principal-accounts)**— 控制是否僅允許特定帳戶的成員發出請求。
### 控制 委託人的存取權限
許可政策會控制身為委託人的您可允許執行的動作。管理員必須將身分型許可政策連接到可提供許可的身分 (使用者、群組或角色)。許可政策允許或存取 AWS。管理員也可以設定 IAM 實體 (使用者或角色) 的許可界限,以定義實體可擁有的最大許可。許可界限是進階 IAM 功能。如需有關許可界限的詳細資訊,請參閱[IAM 身份的許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)中的*IAM 使用者指南*。
如需詳細資訊和如何控制主參與者 AWS 存取的範例,請參閱[控制主參與者的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-principals)中的*IAM 使用者指南*。
### 控制身份的存取
管理員可以建立政策限制對身分可執行的動作或是可存取的人員,藉以控制您可以對 IAM 身分 (使用者、群組或角色) 執行的動作。然後,他們會將該政策連接到提供您許可的身分。
例如,管理員可能允許您為三個特定的使用者重設密碼。為此,他們會將政策連接到 IAM 使用者,您可以選擇僅為自己和具有三個指定使用者 ARN 的使用者重設密碼。這可讓您重設團隊成員的密碼,但非其他 IAM 使用者。
如需使用政策控制 AWS 身分存取的詳細資訊和範例,請參閱[控制身份的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-identities)中的*IAM 使用者指南*。
### 控制原則的存取
管理員可控制哪些使用者可以建立、編輯和刪除客戶受管政策,以及哪些使用者可以連接和分離所有受管政策。當您檢閱政策時,您可以檢視政策摘要,其中包括該政策內每項服務的存取層級摘要。AWS 將每個服務動作分類為四個動作之一*存取層級*基於每個動作的作用:`List`、`Read`、`Write`, 或`Permissions management`。您可以使用這些存取層級,來判斷哪些動作要包含到您的政策中。如需詳細資訊,請參閱「」[了解政策摘要中的存取層級摘要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand-policy-summary-access-level-summaries.html)中的*IAM 使用者指南*。
**警告**
您應該限制`Permissions Management`的存取層級許可。否則,您的帳戶成員可以為自己建立政策,擁有比應有更多的許可。或者,他們可以建立能夠完全存取 AWS 的個別使用者。
如需詳細資訊和如何控制 AWS 對政策的存取權限的範例,請參閱[控制原則的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-policies)中的*IAM 使用者指南*。
### 控制 資源的存取權限
管理員可以控制哪些使用者有權使用以身分為基礎的政策或以資源為基礎的政策來存取資源。在以身分為基礎的政策中,您將政策附加到一個身分並指定該身分可以存取哪些資源。在以資源為基礎的政策中,您將政策附加到要控制的資源。在該政策中,您指定哪些委託人可以存取該資源。
如需詳細資訊,請參閱「」[控制資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources)中的*IAM 使用者指南*。
#### 資源建立者沒有自動具有權限
帳戶內的所有資源由帳戶擁有,無論這些資源的建立者是誰。AWS 帳戶根使用者是帳戶擁有者,因此具有可在帳號中任何資源上執行任何動作的許可。
**重要**
強烈建議您不要以根使用者處理日常作業,即使是管理作業。反之,請遵循[僅使用根使用者建立您第一個 IAM 使用者的最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)。接著請妥善鎖定根使用者登入資料,只用來執行少數的帳戶與服務管理作業。若要檢視需要您以根使用者身分登入的工作,請參閱[需要根使用者的 AWS 任務](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)。
必須授與 AWS 帳戶中的實體 (使用者或角色) 存取權以建立資源。不過,即使他們建立資源也不表示他們會自動擁有存取該資源的完整權限。管理員必須明確為每個動作授予許可。此外,管理員隨時可以撤銷這些許可,只要管理使用者和角色許可。
### 控制對不同帳戶中委託人的存取
管理員可以使用 AWS 資源型政策、IAM 跨帳戶角色或 AWS Organizations 服務,讓其他帳戶中的主管人員可以存取您帳戶中的資源。
對於某些 AWS 服務,管理員可以授與跨帳戶存取資源的許可。為此,管理員會將政策直接將政策連接到他們要分享的資源,而不是以代理方式使用角色。如果服務支援此政策類型,則管理員共用的資源也必須支援資源型政策。不像以使用者為基礎的政策,以資源為基礎的政策會指定誰可以存取該資源 (以 AWS 帳戶 ID 號碼清單形式)。全域加速器不支援資源類型政策。
以資源為基礎的政策的跨帳戶存取比角色更具有優勢。若使用透過資源型政策存取的資源,委託人 (人員或應用程式) 仍可在信任的帳戶中運作,不需放棄其使用者許可,而代之以角色許可。換言之,委託人可同時在受信任的帳戶*和*信任的帳戶中存取資源。這對於某些任務很實用,例如從一個帳戶複製資訊到另一個帳戶。如需有關使用跨帳戶角色的詳細資訊,請參閱[在您擁有的另一個 AWS 帳戶中提供 IAM 使用者存取權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)中的*IAM 使用者指南*。
AWS Organizations 為您擁有的多個 AWS 帳戶提供以政策為基礎的管理。使用 Organizations,您可以建立帳戶群組、自動化帳戶的建立、套用和管理這些群組的政策。Organizations 可讓您集中管理多個帳戶的政策,而不需要自訂指令碼和手動程序。使用 AWS Organizations,您可以建立服務控制政策 (SCP) 來集中控制 AWS 服務的 AWS 服務使用。如需詳細資訊,請參閱「」[什麼是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)中的*AWS Organizations 使用者指南*。
## 什麼是政策?
您可以透過建立政策並將其連接到 IAM 身分或 AWS 資源,在 AWS 中控制存取。
**注意**
若要快速開始使用,您可以忽略此頁面。首先,檢閱上的入門資訊[AWS Global Accelerator 的 Identity and Access Management](auth-and-access-control.md),然後參閱[入門 IAM](#auth_access_getting-started)。
政策為 AWS 中的一個物件,當與實體或資源相關聯時,會定義它們的許可。當像使用者這類的委託人提出請求時,AWS 會評估這些政策。政策中的許可,決定是否允許或拒絕請求。大部分政策以 JSON 文件形式存放在 AWS 中。
IAM 政策定義該動作的許可,無論您使用何種方法來執行操作。例如,如果原則允許[GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)動作,則具有該政策的使用者可以從 AWS 管理主控台、AWS CLI 或 AWS API 取得使用者資訊。當您建立 IAM 使用者時,您可以設定使用者以允許主控台存取或程式化存取。IAM 使用者可以利用使用者名稱和密碼登入主控台。或者,使用存取金鑰以使用 CLI 或 API。
以下政策類型 (按頻率列出) 會影響請求是否能獲授權。如需詳細資訊,請參閱「」。[政策類型](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types)中的*IAM 使用者指南*。
**以身分為基礎的政策**
您可以將受管和內嵌政策連接到 IAM 身分 (使用者與使用者所屬的群組和角色)。
**以資源為基礎的政策**
您可以在某些 AWS 服務中將內嵌政策連接到資源。以資源為基礎的政策的最常見範例是 Amazon S3 儲存貯體政策和 IAM 角色信任政策。全域加速器不支援資源類型政策。
**Organizations SCP**
您可以使用 AWS Organizations 服務控制政策 (SCP) 將許可界限套用到 AWS Organizations 或組織單位 (OU)。這些許可會套用到成員帳戶中的所有實體。
**存取控制清單 (ACL)**
您可以使用 ACL 控制哪些委託人可以存取資源。ACL 類似以資源為基礎的政策,雖然是不使用 JSON 政策文件結構的唯一政策類型。全域加速器支援 OR 不支援 ACL。
這些政策類型可歸類為*許可政策*或*許可界限*。
**許可政策**
您可以將許可政策連接到 AWS 中的資源來定義該物件的許可。在單一帳戶內,AWS 將所有許可政策一起做評估。許可政策是最常見的政策。您可以使用以下政策類型做為許可政策:
**以身分為基礎的政策**
當您將受管或內嵌政策連接到 IAM 使用者、群組或角色,該政策會定義實體的許可。
**以資源為基礎的政策**
當您將 JSON 政策文件連接到資源,您會定義該資源的許可。該服務必須支援以資源為基礎的政策。
**存取控制清單 (ACL)**
當您將 ACL 連接到資源,您會定義具有存取該資源許可的委託人清單。資源必須支援 ACL。
**許可界限**
您可以使用政策來定義實體 (使用者或角色) 的許可界限。許可界限控制實體可以擁有的許可上限。許可界限是進階 AWS 功能。當在請求中套用多個許可界限,AWS 會個別評估每個許可界限。您可以在下列情況套用許可界限:
**組織**
您可以使用 AWS Organizations 服務控制政策 (SCP) 將許可界限套用到 AWS Organizations 或組織單位 (OU)。
**IAM 使用者或角色**
您可以針對使用者使用受管政策或角色的許可界限。如需詳細資訊,請參閱「」[IAM 實體的許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)中的*IAM 使用者指南*。
**Topics**
+ [以身分為基礎的政策](#auth_access_manage-access-intro-identity-policies)
+ [以資源為基礎的政策](#auth_access_manage-access-intro-resource-policies)
+ [原則存取層級分類](#auth_access_policies-access-level)
### 以身分為基礎的政策
您可以將政策連接到 IAM 身分。例如,您可以執行下列操作:
**將許可政策連接到您帳戶中的使用者或群組**
若要將建立 AWS Global Access 資源 (例如加速器) 的許可授予使用者,您可以將許可政策連接至使用者或使用者所屬的群組。
**將許可政策連接至角色 (授予跨帳戶許可)**
您可以將以身分為基礎的許可政策連接到 IAM 角色,以授與跨帳戶許可。例如,帳戶 A 管理員可以建立角色,來授予橫跨另一個 AWS 帳戶 (如帳戶 B) 或 AWS 服務的跨帳戶許可,如下所示:
1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接到可授予帳戶 A 中資源許可的角色。
1. 帳戶 A 管理員會將信任政策連接至將帳戶 B 識別為可擔任角色之委託人的角色。
1. 帳戶 B 管理員接著可將擔任該角色的許可委派給帳戶 B 的任何使用者,如此可讓帳戶 B 的使用者建立或存取帳戶 A 的資源。如果您想要將擔任該角色的許可授予 AWS 服務,則信任政策的委託人也可以是 AWS 服務委託人。
如需使用 IAM 來委派許可的詳細資訊,請參閱[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)中的*IAM 使用者指南*。
如需使用者、群組、角色和許可的詳細資訊,請參閱[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)中的*IAM 使用者指南*。
以下是可搭配全域加速器使用的兩個政策範例第一個範例政策授與使用者以程式設計方式存取 AWS 帳戶中加速器的所有「清單」和「說明」動作:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"globalaccelerator:List*",
"globalaccelerator:Describe*"
],
"Resource": "*"
}
]
}
```
下列範例會授與程式設計存取`ListAccelerators`操作:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"globalaccelerator:ListAccelerators",
],
"Resource": "*"
}
]
}
```
### 以資源為基礎的政策
以資源為基礎的政策是連接到資源的 JSON 政策文件。以資源為基礎政策則可控制指定委託人在何種條件下對哪些資源執行哪些動作。最常見的資源型政策是 Amazon S3 儲存貯體。資源型政策是只存在於資源上的內嵌政策。不存在受管的以資源為基礎的政策。
使用資源型政策對其他 AWS 帳戶的成員授與權限對於 IAM 角色有一些優勢。如需詳細資訊,請參閱「」[IAM 角色與資源類型政策有何差異](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)中的*IAM 使用者指南*。
### 原則存取層級分類
在 IAM 主控台,會使用以下存取層級分類來將動作分組:
**列出**
提供許可來列出服務內資源,以判斷物件是否存在。具有此層級存取權的動作,可以列出物件,但無法查看資源的內容。具有 **List (清單)** 存取層級的多數動作無法在特定資源上執行。當您使用這些動作建立政策陳述式,您必須指定 **All resources (所有資源)** (`"*"`)。
**閱讀**
提供許可來讀取但無法編輯服務內資源的內容和屬性。例如,Amazon S3 操作`GetObject`和`GetBucketLocation`擁有**閱讀**存取層級。
**寫入**
提供許可來建立、刪除或修改服務內的資源。例如,Amazon S3 操作`CreateBucket`、`DeleteBucket`,以及`PutObject`擁有**寫入**存取層級。
**許可管理**
提供許可來授予或修改服務內的資源許可。例如,大多數 IAM 和 AWS Organizations 政策動作具有**許可管理**存取層級。
**Tip**
為了改善 AWS 帳戶的安全性,請限制或定期監控包含**許可管理**存取層級分類。
**標記**
提供許可來建立、刪除或修改附加到服務內資源的標籤。例如,Amazon EC2`CreateTags`和`DeleteTags`操作具有**標記**存取層級。
## 入門 IAM
AWS Identity and Access Management (IAM) 是一種 AWS 服務,可讓您安全地管理服務和資源的存取權。IAM 是 AWS 帳戶可享的一項功能,無須額外付費。
**注意**
在您開始使用 IAM 之前,請檢閱上的[AWS Global Accelerator 的 Identity and Access Management](auth-and-access-control.md)。
當您首次建立 AWS 帳戶,您會先有單一的登入身分,可以完整存取帳戶中所有 AWS 服務與資源。此身分稱為 AWS 帳戶「根使用者」**,是藉由您用來建立帳戶的電子郵件地址和密碼以登入並存取。強烈建議您不要以根使用者處理日常作業,即使是管理作業。反之,請遵循[僅以根使用者建立您第一個 &IAM; 使用者的最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)。接著請妥善鎖定根使用者登入資料,只用來執行少數的帳戶與服務管理作業。
### 建立 IAM 管理員使用者
**為您自己建立一個管理員使用者,並將使用者新增至管理員群組 (主控台)**
1. 登入。[IAM 主控台](https://console.aws.amazon.com/iam/)作為帳戶擁有者,請選擇**根使用者**並輸入您的 AWS 帳戶電子郵件地址。在下一頁中,輸入您的密碼。
**注意**
強烈建議您遵循使用**Administrator**IAM 使用者會遵循並妥善鎖定根使用者登入資料。只在需要執行少數[帳戶和服務管理任務](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)時,才以根使用者身分登入。
1. 在導覽窗格中,選擇 **Users** (使用者),然後選擇 **Add user** (新增使用者)。
1. 在 **User name (使用者名稱)** 中輸入 **Administrator**。
1. 選取 **AWS Management Console access (AWS 管理主控台存取)** 旁的核取方塊。然後選取 **Custom password (自訂密碼)**,接著在文字方塊中輸入您的新密碼。
1. (選用) 根據預設,AWS 會要求新使用者在第一次登入時建立新密碼。您可以清除 **User must create a new password at next sign-in (使用者下次登入必須建立新的密碼)** 旁的核取方塊,讓新使用者登入時可以重設密碼。
1. 選擇**下一頁: 許可。**
1. 在 **Set permissions (設定許可)** 下,選擇 **Add user to group (將使用者新增至群組)**。
1. 選擇 **Create group** (建立群組)。
1. 在 **Create group (建立群組)** 對話方塊中,請於 **Group name (群組名稱)** 輸入 **Administrators**。
1. 選擇**篩選政策**,然後選取**AWS 託管-工作功能**來篩選表格內容。
1. 在政策清單中,選取 **AdministratorAccess** 的核取方塊。接著選擇 **Create group (建立群組)**。
**注意**
您必須先啟用 IAM 使用者和角色對帳單的存取權,才能使用 `AdministratorAccess` 許可存取 AWS 帳單和成本管理主控台。若要這樣做,請遵循[委派對帳單主控台的存取權相關教學課程的步驟 1](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) 中的指示。
1. 回到群組清單,選取新群組的核取方塊。必要時,選擇 **Refresh (重新整理)** 以顯示清單中的群組。
1. 選擇**下一頁: Tags (標籤)**。
1. (選用) 藉由附加標籤做為索引鍵/值組,將中繼資料新增至使用者。如需有關在 IAM 中使用標籤的詳細資訊,請參閱[標記 IAM 實體](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)中的*IAM 使用者指南*。
1. 選擇**下一頁: 檢閱**以查看要新增至新使用者的群組成員資格清單。準備好繼續時,請選擇 **Create user (建立使用者)**。
您可以使用這個相同的程序建立更多群組和使用者,以及讓使用者能夠存取您的 AWS 帳戶資源。如需了解以政策限制使用者對特定 AWS 資源的許可,請參閱[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)和[政策範例](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html)。
### 為 Global Accelerator 建立委派使用者
若要支援 AWS 帳戶中的多個使用者,您必須委派許可,讓其他人員能夠執行您允許的動作。若要這樣做,請使用者需要的許可建立 IAM 群組,然後在您建立 IAM 使用者時,將 IAM 使用者新增到必要的群組。您可以使用此程序來設定您整個 AWS 帳戶的群組、使用者和許可。中小型組織最適合使用此解決方案,其中 AWS 管理員可以手動管理使用者和群組。對於大型組織,您可以使用[自訂 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-custom-url.html)、[聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html), 或[單一登入](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
在下列程序中,您會建立名為的三個使用者**arnav**、**carlos**,以及**martha**,並附加授與權限的政策,以建立名為**my-example-accelerator**,但僅在接下來的 30 天內。您可以使用這裡提供的步驟,透過不同許可新增使用者。
**為另一人建立委派使用者 (主控台)**
1. 登入 AWS 管理主控台,然後前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **使用者**,然後選擇 **新增使用者**。
1. 在 **User name (使用者名稱)** 中輸入 **arnav**。
1. 選擇 **Add another user (新增其他使用者)** 並為第二個使用者輸入 **carlos**。然後選擇 **Add another user (新增其他使用者)** 並為第三個使用者輸入 **martha**。
1. 選取**AWS 管理主控台存取**,然後選取**自動產生密碼**。
1. 清除 **User must create a new password at next sign-in (使用者下次登入必須建立新的密碼)** 旁的核取方塊,讓新使用者登入時可以重設密碼。
1. 選擇**下一頁: 許可。**
1. 選擇 **Attach existing policies directly** (直接連接現有政策)。您將為使用者建立新的受管政策。
1. 選擇 **Create policy** (建立政策)。
**Create policy (建立政策)** 精靈會在新索引標籤或瀏覽器視窗中開啟。
1. 在 **Visual editor** (視覺化編輯器) 標籤上,選擇 **Choose a service** (選擇一項服務)。然後選擇 Global Accelerator。您可用上方的搜尋框來限制服務清單中的結果。
所以此**Service (服務)**區段會關閉,並且**動作**區段會自動開啟。
1. 選擇您要允許的全域加速器動作。例如,若要授予建立加速器的許可,請輸入**`globalaccelerator:CreateAccelerator`**中的**篩選動作**文字方塊。當全域加速器動作清單已篩選,請選取**`globalaccelerator:CreateAccelerator`**。
全域加速器動作依存取層級分類分組,讓您能夠輕鬆快速地判斷每個動作提供的存取層級。如需詳細資訊,請參閱 [原則存取層級分類](#auth_access_policies-access-level)。
1. 如果在前面步驟中選擇的動作不支援選擇特定資源,則**所有資源**已為您選取。在該情況下,您不能編輯此區塊。
如果選擇一個或多個支援資源等級許可的動作,視覺化編輯器將在 **Resources (資源)** 區段列出這些資源類型。選擇**您選擇了需要**加速器**資源類型**,選擇是否要為政策輸入特定加速器。
1. 如果您想要針對所有資源允許 `globalaccelerator:CreateAccelerator` 動作,請選擇 **All resources (所有資源)**。
如果您想要指定資源,請選擇 **Add ARN (新增 ARN)**。指定區域和帳戶 ID (或帳戶 ID) (或選擇**任何**),然後輸入**my-example-accelerator**資源。接著選擇 **Add (新增)**。
1. 選擇 **Specify request conditions (optional) (指定請求條件 (選用))**。
1. 選擇**加入條件**,授與建立加速器的許可在未來 7 天內。假設今天日期為 2019 年 1 月 1 日。
1. 對於 **Condition Key (條件金鑰)**,請選擇 **aws:CurrentTime**。這個條件金鑰會檢查使用者提出請求的日期和時間。它會傳回 true,因此只有日期和時間在指定範圍內,才允許 **`globalaccelerator:CreateAccelerator`** 動作。
1. 適用於**限定詞**,請保留預設值。
1. 若要指定何時開始允許的日期和時間範圍,對於 **Operator (運算子)**,請選擇 **DateGreaterThan**。對於 **Value (價值)**,輸入 **2019-01-01T00:00:00Z**。
1. 選擇 **Add (新增)** 以儲存條件。
1. 選擇 **Add another condition (新增其他條件)** 來指定結束日期。
1. 按照類似的步驟,指定何時結束允許的日期和時間範圍。對於 **Condition Key (條件金鑰)**,請選擇 **aws:CurrentTime**。對於 **Operator (運算子)**,選擇 **DateLessThan**。對於 **Value (值)**,輸入 **2019-01-06T23:59:59Z** (第一個日期後 7 天)。然後選擇 **Add (新增)** 以儲存條件。
1. (選用) 若要查看您正在建立的政策之 JSON 政策文件,請選擇**JSON**索引標籤。您可以隨時切換 **Visual editor (視覺化編輯器)** 與 **JSON** 標籤。但是,如果您進行變更或選擇**檢閱政策**中的**Visual editor (視覺化編輯器)**索引標籤上,IAM 可能會調整您的政策結構以針對視覺編輯工具進行最佳化。如需詳細資訊,請參閱「」[調整政策結構](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)中的*IAM 使用者指南*。
1. 完成時,選擇 **Review policy** (檢閱政策)。
1. 在**檢閱政策**(用於) 頁面上的**名稱**,輸入**`globalaccelerator:CreateAccelerator`Policy**。對於 **Description (說明)**,輸入 **Policy to grants permission to create an accelerator**。檢閱政策摘要以確認您已授予所需的許可,然後選擇 **Create policy** (建立政策) 來儲存您的新政策。
1. 返回原始索引標籤或視窗,並重新整理您的政策清單。
1. 在搜尋方塊中,輸入 **`globalaccelerator:CreateAccelerator`Policy**。選取新政策旁邊的核取方塊。然後選擇 **Next Step (下一步)**。
1. 選擇**下一頁: 檢閱**預覽您的新使用者。準備好繼續時,請選擇 **Create user (建立使用者)**。
1. 下載或複製新使用者的密碼,並安全地將其傳送給使用者。另外,為使用者提供[連結至您的 IAM 使用者主控台頁面](https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html#user-sign-in-page)和您剛建立的使用者名稱。
### 允許使用者自行管理其認證
您必須擁有實體存取託管使用者的虛擬 MFA 裝置的硬體,才能設定 MFA。例如,您可以為使用者設定 MFA,該使用者將使用在智慧型手機上執行的虛擬 MFA 裝置。在這種情況下,您必須有可用的智慧型手機,才能完成精靈。因此,您可能想要讓使用者設定和管理自己的虛擬 MFA 裝置。在這種情況下,您必須授與使用者執行必要 IAM 動作的許可。
**建立政策以允許登入資料自我管理 (主控台)**
1. 登入 AWS 管理主控台,然後前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies (政策)**,然後選擇 **Create policy (建立政策)**。
1. 選擇 **JSON** 標籤並從下列 JSON 政策文件複製文字。將此文字貼上至 **JSON** 文字方框中。
**重要**
本範例政策不允許使用者在登入時重設密碼。新使用者和密碼過期的使用者可以執行此操作。您可以透過將 `iam:ChangePassword` 和 `iam:CreateLoginProfile` 新增至 `BlockMostAccessUnlessSignedInWithMFA` 陳述式,來允許這項作業。但是,IAM 不建議執行此作業。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAllUsersToListAccounts",
"Effect": "Allow",
"Action": [
"iam:ListAccountAliases",
"iam:ListUsers",
"iam:ListVirtualMFADevices",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary"
],
"Resource": "*"
},
{
"Sid": "AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation",
"Effect": "Allow",
"Action": [
"iam:ChangePassword",
"iam:CreateAccessKey",
"iam:CreateLoginProfile",
"iam:DeleteAccessKey",
"iam:DeleteLoginProfile",
"iam:GetLoginProfile",
"iam:ListAccessKeys",
"iam:UpdateAccessKey",
"iam:UpdateLoginProfile",
"iam:ListSigningCertificates",
"iam:DeleteSigningCertificate",
"iam:UpdateSigningCertificate",
"iam:UploadSigningCertificate",
"iam:ListSSHPublicKeys",
"iam:GetSSHPublicKey",
"iam:DeleteSSHPublicKey",
"iam:UpdateSSHPublicKey",
"iam:UploadSSHPublicKey"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowIndividualUserToViewAndManageTheirOwnMFA",
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
],
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
},
{
"Sid": "BlockMostAccessUnlessSignedInWithMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:ListVirtualMFADevices",
"iam:EnableMFADevice",
"iam:ResyncMFADevice",
"iam:ListAccountAliases",
"iam:ListUsers",
"iam:ListSSHPublicKeys",
"iam:ListAccessKeys",
"iam:ListServiceSpecificCredentials",
"iam:ListMFADevices",
"iam:GetAccountSummary",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
此政策的功能為何?
+ 所以此`AllowAllUsersToListAccounts`陳述式可讓使用者在 IAM 主控台中查看帳戶及其使用者的基本資訊。這些許可必須位於自己的陳述式中,因為它們不支援或不需要指定特定的資源 ARN,而需要指定 `"Resource" : "*"`。
+ 所以此`AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation`陳述式可讓使用者在 IAM 主控台中管理自己的使用者、密碼、存取金鑰、簽章憑證、SSH 公有金鑰和 MFA 資訊。還允許使用者首次登錄,管理員要求使用者設置首次密碼。資源 ARN 僅限在使用者自己的 IAM 使用者實體中使用這些許可。
+ 第 `AllowIndividualUserToViewAndManageTheirOwnMFA` 個陳述式讓使用者預先檢視或管理其 MFA 裝置。請注意,此陳述式中的資源 ARN 僅允許存取 MFA 裝置,或者與目前登入使用者完全同名的使用者。使用者不能建立或更改除自己裝置外的任何 MFA 裝置。
+ 使用者可以透過第 `AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA` 個陳述式單獨停用自己的 MFA 裝置 (僅在使用者使用 MFA 登入時)。這可防止僅具有存取金鑰 (沒有 MFA 裝置) 的其他使用者停用 MFA 裝置,並存取其帳戶。
+ 所以此`BlockMostAccessUnlessSignedInWithMFA`陳述式會使用`"Deny"`和`"NotAction"`拒絕存取 IAM 和其他 AWS 服務中的一些動作以外的所有動作***如***使用者未使用 MFA 登入。如需更多此陳述式邏輯的資訊,請參閱[帶拒絕的 NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)中的*IAM 使用者指南*。如果使用者使用 MFA 登入,則 `"Condition"` 測試失敗,最後一個「拒絕」陳述式失效;使用者的政策或陳述式可能會判斷使用者的許可。此陳述式可確保當使用者日後不使用 MFA 登入時,他們只能執行所列的動作,而且只有在另一個陳述式或政策允許存取這些動作時才行。
`...IfExists` 運算子的 `Bool` 版本會確認,如果 `aws:MultiFactorAuthPresent` 金鑰遺失,條件將返回 true。這就表示,拒絕使用長期登入資料 (如存取金鑰) 存取 API 的使用者存取為非 IAM API 操作。
1. 完成時,選擇 **Review policy** (檢閱政策)。
1. 在 **Review (檢閱)** 頁面上,針對政策名稱輸入 **Force\$1MFA**。如需政策描述,請輸入**This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.**檢閱政策**摘要**以查看您的政策授予的許可,然後選擇**建立政策**儲存您的工作。
新的政策會出現在受管政策清單中,並且已準備好連接。
**將政策連接至使用者 (主控台)**
1. 在導覽窗格中,選擇 **Users** (使用者)。
1. 選擇您要編輯的使用者的名稱 (而非核取方塊)。
1. 在 **Permissions (許可)** 標籤上,選擇 **Add permissions (新增許可)**。
1. 選擇 **Attach existing policies directly** (直接連接現有政策)。
1. 在搜尋方塊中,輸入 **Force**,然後在清單中選擇 **Force\$1MFA** 旁的核取方塊。然後選擇 **Next (下一步):檢閱**。
1. 檢閱您的變更,然後選擇 **Add permissions (新增許可)**。
### 為 IAM 使用者啟用 MFA
為了提高安全性,我們建議所有 IAM 使用者設定多重驗證 (MFA) 以協助保護您的全球加速器資源。MFA 可增加額外的安全,因為它會要求使用者在標準登入資料外,從支援 AWS 的 MFA 裝置提供唯一的身份驗證。最安全的 AWS MFA 裝置是 U2F 安全金鑰。如果您的公司已有 U2F 裝置,則我們建議您為 AWS 啟用這些裝置。否則,您必須為每個使用者購買裝置,並等待硬體送達。如需詳細資訊,請參閱「」[啟用 U2F 安全金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_u2f.html)中的*IAM 使用者指南*。
如果您還沒有 U2F 裝置,您可以啟用虛擬 MFA 裝置,以低成本的方式快速開始。這需要您在現有的手機或其他行動裝置上安裝軟體應用程式。裝置會根據時間同步的一次性密碼演算法產生六位數字代碼。當使用者登入 AWS,會收到提示輸入裝置的代碼。每個指派給使用者的虛擬 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者虛擬 MFA 裝置的代碼來進行身份驗證。如需可以用來做為虛擬 MFA 裝置的支援應用程式清單,請參閱 [Multi-Factor Authentication](https://aws.amazon.com/iam/details/mfa/)。
**注意**
您必須擁有實體存取託管使用者虛擬 MFA 裝置的行動裝置的行動裝置,才能為 IAM 使用者設定 MFA。
**針對 IAM 使用者啟用虛擬 MFA 裝置 (主控台)**
1. 登入 AWS 管理主控台,然後前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Users** (使用者)。
1. 在 **User Name (使用者名稱)** 清單中,選擇適用的 MFA 使用者名稱。
1. 選擇 **Security credentials** (安全登入資料) 標籤。在 **Assigned MFA device (指派的 MFA 裝置)** 旁,選擇 **Manage (管理)**。
1. 在 **Manage MFA Device (管理 MFA 裝置)** 精靈中,選擇 **Virtual MFA device (虛擬 MFA 裝置)**,然後選擇 **Continue (繼續)**。
IAM 會產生並顯示虛擬 MFA 裝置的配置資訊,包括 QR 代碼圖形。此圖形代表「私密組態金鑰」,可用來在不支援 QR 碼的裝置上手動輸入。
1. 開啟您的虛擬 MFA 應用程式。
如需可以用於託管虛擬 MFA 裝置的應用程式清單,請參閱 [Multi-Factor Authentication](https://aws.amazon.com/iam/details/mfa/)。如果虛擬 MFA 應用程式支援多個帳戶 (多個虛擬 MFA 裝置),請選擇對應的選項以建立新帳戶 (新的虛擬 MFA 裝置)。
1. 判定 MFA 應用程式是否支援 QR 碼,然後執行以下操作之一:
+ 從精靈中,選擇 **Show QR code (顯示 QR 碼)**,然後使用應用程式掃描 QR 碼。例如,您可選擇相機圖示或選擇與 **Scan code (掃描代碼)** 類似的選項,然後使用裝置的相機掃描此代碼。
+ 在 **Manage MFA Device (管理 MFA 裝置)** 精靈中,選擇 **Show secret key (顯示私密金鑰)**,然後在您的 MFA 應用程式中輸入私密金鑰。
完成操作後,虛擬 MFA 裝置會開始產生一次性密碼。
1. 在 **Manage MFA Device (管理 MFA 裝置)** 精靈中的 **MFA code 1 (MFA 代碼 1)** 方塊內,輸入虛擬 MFA 裝置上目前顯示的一次性密碼。請等待 30 秒,裝置將產生新的一次性密碼。然後將第二個一次性密碼輸入 **MFA code 2 (MFA 代碼 2)** 方塊中。選擇 **Assign MFA (指派 MFA)**。
**重要**
產生代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼(TOTP) 在過了一段短期時間候到期。這種情況下,您可以重新同步裝置。如需詳細資訊,請參閱「」[重新同步虛擬及硬體 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_sync.html)中的*IAM 使用者指南*。
虛擬 MFA 裝置現已準備好與 AWS 一起使用。