本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 新增初始使用者
<a name="add-initial-users"></a>

有兩種方法可以授予人員存取 AWS 帳戶：
+ IAM 身分，例如使用者、群組和角色
+ 聯合身分，例如使用 AWS IAM Identity Center

在小型公司和單一帳戶環境中，在新人員加入公司時，管理員通常會建立 IAM 使用者。與 IAM 使用者相關聯的存取金鑰和秘密金鑰憑證稱為*長期憑證*，因為其不會過期。不過，這並不是建議的安全最佳實務，因為如果攻擊者威脅到這些憑證，您必須為使用者產生一組新的憑證。存取 的另一種方法是 AWS 帳戶 透過 [IAM 角色](https://aws.amazon.com/blogs/startups/how-setting-up-iam-users-and-iam-roles-can-help-keep-your-startup-secure/)。您也可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) 暫時請求*短期憑證*，它會在可設定的時間後過期。

您可以透過 [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) AWS 帳戶 管理人員存取您的 。您可以為每位員工或承包商建立個別使用者帳戶，他們可以管理自己的密碼和多重要素驗證 (MFA) 解決方案，也可以將他們分組以管理存取權。設定 MFA 時，可以使用軟體權杖，例如驗證器應用程式，也可以使用硬體權杖，例如 YubiKey 裝置。

IAM Identity Center 也支援來自外部身分提供者 (IdP) 的聯合，例如 Okta、JumpCloud 和 Ping Identity。如需詳細資訊，請參閱[支援的身分提供者](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) (IAM Identity Center 文件)。透過與外部 IdP 聯合，您可以跨應用程式管理使用者身分驗證，然後使用 IAM Identity Center 授權存取特定 AWS 帳戶。

## 最佳實務
<a name="users-best-practices"></a>
+ 遵循[安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (IAM 文件) 以設定使用者存取權。
+ 依群組而非個別使用者管理帳戶存取權。在 IAM Identity Center 中，建立代表每個業務職能的新群組。例如，可以建立工程、財務、銷售和產品管理群組。
+ 通常，透過將需要存取所有 AWS 帳戶 的人 (通常為唯讀存取) 和需要存取單個 AWS 帳戶的人分開來定義群組。建議您針對 群組使用以下命名慣例，以便輕鬆識別與 群組相關聯的 AWS 帳戶 和 許可。

  `<prefix>-<account name>-<permission set>`
+ 例如，對於群組 `AWS-A-dev-nonprod-DeveloperAccess`，`AWS-A` 是一個字首，它表示可存取單個帳戶，`dev-nonprod` 是帳戶名稱，`DeveloperAccess` 是指派給群組的許可集。對於群組 `AWS-O-BillingAccess`，`AWS-O` 字首表示對整個組織的存取，`BillingAccess` 表示群組的許可集。在此範例中，由於群組擁有對整個組織的存取權，所以群組名稱中不會顯示帳戶名稱。
+ 如果您將 IAM Identity Center 與外部 SAML 型 IdP 搭配使用，並且想要使用 MFA，則可以使用屬性型存取控制 (ABAC) 將驗證方法從 IdP 傳遞至 IAM Identity Center。透過 SAML 宣告來傳送屬性。如需詳細資訊，請參閱[啟用和設定存取控制屬性](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html) (IAM Identity Center 文件)。

  諸如 Microsoft Azure Active Directory 和 Okta 等許多 IdP 可使用 SAML 宣告中的 Authentication Method Reference (`amr`) 聲明將使用者的 MFA 狀態傳遞至 IAM Identity Center。用來宣告 MFA 狀態及其格式的聲明因 IdP 而異。如需詳細資訊，請參閱您的 IdP 文件。

  在 IAM Identity Center 中，您可以建立許可集政策，以決定誰可以存取您的 AWS 資源。啟用 ABAC 並指定屬性時，IAM Identity Center 會將已驗證使用者的屬性值傳遞至 IAM，以便用於政策評估。如需詳細資訊，請參閱[建立 ABAC 的許可政策](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac-policies.html) (IAM Identity Center 文件)。如下列範例所示，使用 `aws:PrincipalTag` 條件金鑰為 MFA 建立存取控制規則。

  ```
  "Condition": {
    "StringLike": { "aws:PrincipalTag/amr": "mfa" }
  }
  ```