本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 什麼是 AWS 登入?
本指南可協助您了解登入 Amazon Web Services (AWS) 的不同方式,視您的使用者類型而定。如需有關如何根據您的使用者類型和您要存取 AWS 的資源登入的詳細資訊,請參閱下列其中一個教學課程。
+ [登入 AWS 管理主控台](how-to-sign-in.md)
+ [登入您的 AWS 存取入口網站](iam-id-center-sign-in-tutorial.md)
+ [以聯合身分身分登入](federated-identity-overview.md)
+ [透過 登入 AWS Command Line Interface](command-line-sign-in.md)
+ [使用 登入 AWS 建構家 ID](sign-in-builder-id.md)
如果您在登入 時遇到問題 AWS 帳戶,請參閱 [對 AWS 帳戶 登入問題進行故障診斷](troubleshooting-sign-in-issues.md)。如需 的說明, AWS 建構家 ID 請參閱 [對 AWS 建置器 ID 問題進行故障診斷](troubleshooting-builder-id-issues.md)。想要建立 AWS 帳戶? [註冊。 AWS](https://portal.aws.amazon.com/billing/signup#/start/email)如需註冊 如何 AWS 協助您或組織的詳細資訊,請參閱[聯絡我們](https://aws.amazon.com/contact-us/sales-support-1v/)。
**Topics**
+ [術語](#terminology)
+ [AWS 登入的區域可用性](#sign-in-regions)
+ [登入事件記錄](#sign-in-events)
+ [判斷您的使用者類型](user-types-list.md)
+ [判斷您的登入 URL](sign-in-urls-defined.md)
+ [要新增至允許清單的網域](allowlist-domains.md)
+ [AWS 帳戶 管理員的安全最佳實務](best-practices-admin.md)
## 術語
Amazon Web Services (AWS) 使用[常用術語](https://docs.aws.amazon.com//general/latest/gr/glos-chap.html)來描述登入程序。我們建議您閱讀並了解這些條款。
### 管理員
也稱為 AWS 帳戶 管理員或 IAM 管理員。管理員通常是資訊技術 (IT) 人員,是監督 的個人 AWS 帳戶。管理員對 的許可層級 AWS 帳戶 高於其組織的其他成員。管理員會建立和實作 的設定 AWS 帳戶。他們也會建立 IAM 或 IAM Identity Center 使用者。管理員會提供這些使用者存取憑證和登入 URL 來登入 AWS。
### 帳戶
標準 AWS 帳戶 包含您的 AWS 資源和可存取這些資源的身分。帳戶與帳戶擁有者的電子郵件地址和密碼相關聯。
### 憑證
也稱為存取憑證或安全憑證。進行身分驗證和授權時,系統會使用登入資料來識別呼叫發起人,以及是否允許請求的存取。登入資料是使用者提供給 AWS 以登入和存取 AWS 資源的資訊。人類使用者的登入資料可以包含電子郵件地址、使用者名稱、使用者定義的密碼、帳戶 ID 或別名、驗證碼,以及單一使用多重要素驗證 (MFA) 代碼。對於程式設計存取,您也可以使用存取金鑰。建議盡可能使用短期存取金鑰。
如需登入資料的詳細資訊,請參閱[AWS 安全登入](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)資料。
**注意**
使用者必須提交的登入資料類型取決於其使用者類型。
### 公司登入資料
使用者存取其公司網路和資源時提供的登入資料。您的公司管理員可以將 設定為 AWS 帳戶 使用您用來存取公司網路和資源的相同登入資料。這些登入資料是由您的管理員或服務台員工提供給您。
### 設定檔
當您註冊 AWS Builder ID 時,您可以建立設定檔。您的設定檔包含您提供的聯絡資訊,以及管理多重要素驗證 (MFA) 裝置和作用中工作階段的能力。您也可以進一步了解隱私權,以及我們在設定檔中處理您的資料的方式。如需 設定檔及其與 關係的詳細資訊 AWS 帳戶,請參閱 [AWS 建構家 ID 和其他 AWS 登入資料](differences-builder-id.md)。
### 根使用者憑證
根使用者登入資料是用來建立 的電子郵件地址和密碼 AWS 帳戶。我們強烈建議將 MFA 新增至根使用者憑證,以提高安全性。根使用者登入資料提供帳戶中所有 AWS 服務和資源的完整存取權。如需根使用者的詳細資訊,請參閱 [根使用者](user-types-list.md#account-root-user-type)。
### 使用者
使用者是有權對 AWS 產品或存取 AWS 資源進行 API 呼叫的人員或應用程式。每個使用者都有一組不與其他使用者共用的唯一安全登入資料。這些登入資料與 的安全登入資料不同 AWS 帳戶。如需詳細資訊,請參閱[判斷您的使用者類型](user-types-list.md)。
### 驗證碼
驗證碼會在登入程序期間[使用多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) 驗證您的身分。驗證碼的交付方法會有所不同。它們可以透過簡訊或電子郵件傳送。如需詳細資訊,請洽詢您的管理員。
## AWS 登入的區域可用性
AWS 登入可在數個常用的 中使用 AWS 區域。此可用性可讓您更輕鬆地存取 AWS 服務和商業應用程式。如需登入支援區域的完整清單,請參閱[AWS 登入端點和配額](https://docs.aws.amazon.com/general/latest/gr/signin-service.html)。
## 登入事件記錄
CloudTrail 會在您的 上自動啟用, AWS 帳戶 並在活動發生時記錄事件。下列資源可協助您進一步了解記錄和監控登入事件。
+ CloudTrail 日誌會嘗試登入 AWS 管理主控台。所有 IAM 使用者、根使用者和聯合身分使用者登入事件都會在 CloudTrail 日誌檔案中產生記錄。如需詳細資訊,請參閱《*AWS CloudTrail 使用者指南*》中的[AWS 管理主控台 登入事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-aws-console-sign-in-events.html)。
+ 如果您使用區域端點登入 AWS 管理主控台,CloudTrail 會將`ConsoleLogin`事件記錄在端點的適當區域中。如需 AWS 登入端點的詳細資訊,請參閱《 *AWS 一般參考指南*》中的[AWS 登入端點和配額](https://docs.aws.amazon.com/general/latest/gr/signin-service.html)。
+ 若要進一步了解 CloudTrail 如何記錄 IAM Identity Center 的登入事件,請參閱《[IAM Identity Center 使用者指南》中的了解 IAM Identity Center 登入事件](https://docs.aws.amazon.com/singlesignon/latest/userguide/understanding-sign-in-events.html)。 **
+ 若要進一步了解 CloudTrail 如何在 IAM 中記錄不同的使用者身分資訊,請參閱[《 使用者指南》中的使用 記錄 IAM 和 AWS STS API 呼叫 AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html)。 *AWS Identity and Access Management *
# 判斷您的使用者類型
登入的方式取決於您是哪種類型的 AWS 使用者。您可以將 管理 AWS 帳戶 為根使用者、IAM 使用者、IAM Identity Center 中的使用者或聯合身分。您可以使用 AWS Builder ID 描述檔來存取特定 AWS 服務和工具。以下列出不同的使用者類型。
**Topics**
+ [根使用者](#account-root-user-type)
+ [IAM 使用者](#iam-user-type)
+ [IAM Identity Center 使用者](#sso-user-type)
+ [聯合身分](#federated-identity-type)
+ [AWS Builder ID 使用者](#builder-id-type)
## 根使用者
也稱為帳戶擁有者或帳戶根使用者。身為根使用者,您可以完整存取 中的所有 AWS 服務和資源 AWS 帳戶。第一次建立 時 AWS 帳戶,您會從單一登入身分開始,該身分可完整存取帳戶中的所有 AWS 服務和資源。此身分是 AWS 帳戶根使用者。您可以使用您用來建立帳戶的電子郵件地址和密碼,以根使用者的身分登入。根使用者使用 登入[AWS 管理主控台](https://console.aws.amazon.com/)。如需如何登入的逐步說明,請參閱 [以根使用者 AWS 管理主控台 身分登入](introduction-to-root-user-sign-in-tutorial.md)。
**重要**
當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
如需 IAM 身分的詳細資訊,包括根使用者,請參閱 [IAM 身分 (使用者、使用者群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
## IAM 使用者
IAM 使用者是您在其中建立的實體 AWS。此使用者是 內授予特定自訂許可 AWS 帳戶 的身分。您的 IAM 使用者登入資料包含用於登入 的名稱和密碼[AWS 管理主控台](https://console.aws.amazon.com/)。如需如何登入的逐步說明,請參閱[以 IAM 使用者 AWS 管理主控台 身分登入](introduction-to-iam-user-sign-in-tutorial.md)。
如需 IAM 身分的詳細資訊,包括 IAM 使用者,請參閱 [IAM 身分 (使用者、使用者群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
## IAM Identity Center 使用者
IAM Identity Center 使用者是 的成員, AWS Organizations 可以透過您的存取入口網站授予對多個 AWS 帳戶 和應用程式的 AWS 存取權。如果其公司已將 Active Directory 或其他身分提供者與 IAM Identity Center 整合,IAM Identity Center 中的使用者可以使用其公司憑證登入。IAM Identity Center 也可以是身分提供者,管理員可以在其中建立使用者。無論身分提供者為何,IAM Identity Center 中的使用者都會使用您的 AWS 存取入口網站登入,這是其組織的特定登入 URL。IAM Identity Center 使用者**無法**透過 AWS 管理主控台 URL 登入。
IAM Identity Center 中的人類使用者可以從下列任一位置取得您的 AWS 存取入口網站 URL:
+ 管理員或服務台員工的訊息
+ 來自 的電子郵件, AWS 內含加入 IAM Identity Center 的邀請
**提示**
IAM Identity Center 服務傳送的所有電子郵件均來自地址 **no-reply@signin.aws** 或 **no-reply@login.awsapps.com**。我們建議您設定電子郵件系統,使其接受來自這些寄件者電子郵件地址的電子郵件,而不會將其視為垃圾郵件或垃圾郵件處理。
如需如何登入的逐步說明,請參閱 [登入您的 AWS 存取入口網站](iam-id-center-sign-in-tutorial.md)。
**注意**
我們建議您為 AWS 存取入口網站的組織特定登入 URL 加上書籤,以便稍後可以存取。
如需 IAM Identity Center 的詳細資訊,請參閱[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
## 聯合身分
聯合身分是可以使用知名外部身分提供者 (IdP) 登入的使用者,例如 Login with Amazon、Facebook、Google 或任何其他與 [OpenID Connect (OIDC)](https://openid.net/connect/) 相容的 IdP。使用 Web 聯合身分時,您可以接收身分驗證字符,然後將該字符交換為 中的臨時安全登入資料 AWS ,該登入資料對應至具有許可的 IAM 角色,以使用 中的資源 AWS 帳戶。 您不會使用 AWS 管理主控台 或 AWS 存取入口網站登入。反之,使用中的外部身分會決定您的登入方式。
如需詳細資訊,請參閱[以聯合身分身分登入](federated-identity-overview.md)。
## AWS Builder ID 使用者
身為 AWS 建置器 ID 使用者,您特別登入要存取的服務 AWS 或工具。 AWS Builder ID 使用者會補充 AWS 帳戶 您已擁有或想要建立的任何 。 AWS 建置器 ID 代表您是個人,您可以使用它來存取 AWS 服務和工具,而不需要 AWS 帳戶。您也有一個設定檔,您可以在其中查看和更新您的資訊。如需詳細資訊,請參閱[使用 登入 AWS 建構家 ID](sign-in-builder-id.md)。
AWS Builder ID 與您的 AWS Skill Builder 訂閱是獨立的線上學習中心,您可以在其中向 AWS 專家學習並線上建置雲端技能。如需 AWS 技能建置器的詳細資訊,請參閱[AWS 技能建置器](https://skillbuilder.aws/)。
# 判斷您的登入 URL
AWS 根據您的 AWS 使用者類型,使用下列其中一個 URLs來存取 。如需詳細資訊,請參閱[判斷您的使用者類型](user-types-list.md)。
**Topics**
+ [AWS 帳戶 根使用者登入 URL](#root-user-url)
+ [AWS 存取入口網站](#access-portal-url)
+ [IAM 使用者登入 URL](#IAM-user-url)
+ [聯合身分 URL](#federated-identities-url)
+ [AWS 建置器 ID URL](#builder-id-url)
## AWS 帳戶 根使用者登入 URL
根使用者 AWS 管理主控台 從 AWS 登入頁面存取 :`[https://console.aws.amazon.com/](https://console.aws.amazon.com/)`。
此登入頁面也可以選擇以 IAM 使用者身分登入。
## AWS 存取入口網站
AWS 存取入口網站是 IAM Identity Center 中使用者登入和存取您帳戶的特定登入 URL。當管理員在 IAM Identity Center 中建立使用者時,管理員會選擇使用者是否收到加入 IAM Identity Center 的電子郵件邀請,還是收到來自管理員或服務台員工的訊息,其中包含一次性密碼和 AWS 存取入口網站 URL。特定登入 URL 的格式如下所示:
```
https://d-xxxxxxxxxx.awsapps.com/start
```
或
```
https://your_subdomain.awsapps.com/start
```
特定的登入 URL 會有所不同,因為您的管理員可以自訂。特定的登入 URL 可能以字母 D 開頭,後面接著 10 個隨機號碼和字母。您的子網域也可能用於登入 URL,並可能包含您的公司名稱,如下列範例所示:
![\[AWS 存取入口網站 URL 範例。\]](http://docs.aws.amazon.com/zh_tw/signin/latest/userguide/images/URL-example-aws-access-portal-AnyCompany.png)
**注意**
我們建議您將 AWS 存取入口網站的特定登入 URL 加入書籤,以便稍後可以存取。
如需 AWS 存取入口網站的詳細資訊,請參閱[使用 AWS 存取入口網站](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-the-portal.html)。
## IAM 使用者登入 URL
IAM 使用者可以 AWS 管理主控台 使用特定的 IAM 使用者登入 URL 存取 。IAM 使用者登入 URL 結合了您的 AWS 帳戶 ID 或別名和 `signin.aws.amazon.com/console`
IAM 使用者登入 URL 的外觀範例:
```
https://account_alias_or_id.signin.aws.amazon.com/console/
```
如果您的帳戶 ID 為 111122223333,您的登入 URL 會是:
![\[IAM 使用者登入 URL 範例。\]](http://docs.aws.amazon.com/zh_tw/signin/latest/userguide/images/URL-example-IAM-user-sign-in.png)
如果您在 AWS 帳戶 使用 IAM 使用者登入 URL 存取 時遇到問題,請參閱 [中的恢復能力 AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/disaster-recovery-resiliency.html)以取得更多資訊。
## 聯合身分 URL
聯合身分的登入 URL 會有所不同。外部身分或外部身分提供者 (IdP) 會決定聯合身分的登入 URL。外部身分可以是 Windows Active Directory、Login with Amazon、Facebook 或 Google。如需如何以聯合身分登入的詳細資訊,請聯絡您的管理員。
如需聯合身分的詳細資訊,請參閱[關於 Web 聯合身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html)。
## AWS 建置器 ID URL
AWS 建置器 ID 設定檔的 URL 為 [https://profile.aws.amazon.com/](https://profile.aws.amazon.com/)。使用您的 AWS 建置器 ID 時,登入 URL 取決於您要存取的服務。例如,若要登入 Amazon CodeCatalyst,請前往 [https://codecatalyst.aws/login](https://codecatalyst.aws/login)。
# 要新增至允許清單的網域
如果您使用新一代防火牆 (NGFW) 或安全 Web Gateway (SWG) 等 Web 內容篩選解決方案來篩選特定 AWS 網域或 URL 端點的存取權,則必須將下列網域或 URL 端點新增至 Web 內容篩選解決方案允許清單。
## AWS 要允許清單的登入網域
如果您或您的組織實作 IP 或網域篩選,您可能需要允許列出網域才能使用 AWS 管理主控台。下列網域必須在您嘗試存取 的網路上存取 AWS 管理主控台。
+ `[Region].signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
## AWS 存取入口網站 要允許清單的網域
如果您使用新一代防火牆 (NGFW) 或安全 Web Gateway (SWG) 等 Web 內容篩選解決方案來篩選特定 AWS 網域或 URL 端點的存取權,則必須將下列網域或 URL 端點新增至 Web 內容篩選解決方案允許清單。這樣做可讓您存取 AWS 存取入口網站。
+ `[Directory ID or alias].awsapps.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com `
+ `*.sso-portal.[Region].amazonaws.com`
## AWS 建構家 ID 要允許清單的網域
如果您或您的組織實作 IP 或網域篩選,您可能需要允許列出網域來建立和使用 AWS 建構家 ID。下列網域必須在您嘗試存取的網路上存取 AWS 建構家 ID。
+ `view.awsapps.com/start`
+ `*.aws.dev`
+ `*.uis.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.*.amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.*.amazonaws.com `
+ `*.sso-portal.*.amazonaws.com`
+ `*.signin.aws`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `profile.aws.amazon.com`
# AWS 帳戶 管理員的安全最佳實務
如果您是建立新 的帳戶管理員 AWS 帳戶,建議您執行下列步驟,以協助使用者在登入時遵循 AWS 安全最佳實務。
1. 以根使用者身分登入以[啟用多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa),如果您尚未建立[AWS 管理使用者,請在 IAM Identity Center 中建立管理使用者](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。然後,[保護您的根憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials),不要將其用於日常任務。
1. 以 AWS 帳戶 管理員身分登入並設定下列身分:
+ 為其他[人類](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)建立[最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)的使用者。
+ 設定[工作負載的臨時登入](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-workloads-use-roles)資料。
+ 僅針對[需要長期憑證的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)建立存取金鑰。
1. 新增許可以授予這些身分的存取權。您可以[開始使用 AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies),並轉向[最低權限許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。
+ [ 將許可集新增至 AWS IAM Identity Center ( AWS 單一登入的後續版本) 使用者](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)。
+ [ 將身分型政策新增至用於工作負載的 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
+ 針對需要長期憑證的使用案例,[為 IAM 使用者新增身分型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
+ 如需 IAM 使用者的詳細資訊,請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
1. 儲存和共用有關 的資訊[登入 AWS 管理主控台](how-to-sign-in.md)。視您建立的身分類型而定,此資訊會有所不同。
1. 將您的根使用者電子郵件地址和主要帳戶聯絡電話號碼保持在最新狀態,以確保您可以接收重要的帳戶和安全相關通知。
+ [修改 的帳戶名稱電子郵件地址或密碼 AWS 帳戶根使用者](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)。
+ [存取或更新主要帳戶聯絡人](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html)。
1. 檢閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html),以了解其他身分和存取管理最佳實務。