重新命名 IAM 使用者
注意
做為其中一項最佳實務,我們建議您要求人類使用者搭配身分提供者使用聯合功能,以便使用暫時性憑證存取 AWS。如果遵循最佳實務,則您不用管理 IAM 使用者和群組。反之,您的使用者和群組將在 AWS 外部受管,而且能夠以聯合身分存取 AWS 資源。聯合身分是來自您企業使用者目錄的使用者、Web 身分提供者、AWS Directory Service、Identity Center 目錄或透過身分來源提供的憑證來存取 AWS 的任何使用者。聯合身分使用由其身分提供者定義的群組。如果您使用的是 AWS IAM Identity Center,請參閱《AWS IAM Identity Center 使用者指南》中的管理 IAM Identity Center 中的身分,以了解有關在 IAM Identity Center 中建立使用者和群組的資訊。
Amazon Web Services 提供在 AWS 帳戶 中管理 IAM 使用者的多項工具。您可以列出帳戶或使用者群組中的 IAM 使用者,也可以列出使用者所屬的所有 IAM 群組。您可以重新命名或變更 IAM 使用者的路徑。如果您要改用聯合身分而非 IAM 使用者,您可以刪除 AWS 帳戶的 IAM 使用者,或停用該使用者。
如需有關新增、變更或移除 IAM 使用者之受管政策的詳細資訊,請參閱 變更 IAM 使用者的許可。如需管理 IAM 使用者之內嵌政策的資訊,請參閱新增和移除 IAM 身分許可、編輯 IAM 政策 和 刪除 IAM 政策。最佳實務的做法是,使用受管政策而不是內嵌政策。AWS 受管政策為很多常見使用案例授予許可。請記住,AWS 受管政策可能不會授予您特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。因此,我們建議您定義使用案例的客戶管理政策,以便進一步減少許可。如需詳細資訊,請參閱AWS 受管政策。如需有關專為特定任務角色設計的 AWS 受管理政策的詳細資訊,請參閱 任務函数的 AWS 受管政策。
若要了解驗證 IAM 政策的資訊,請參閱 IAM 政策驗證。
提示
IAM Access Analyzer 可以分析您 IAM 角色使用的服務和動作,然後產生您可以使用的精細政策。測試產生的每個政策後,您可以將政策部署到生產環境。這可確保您僅授予所需的許可給工作負載。如需政策產生的詳細資訊,請參閱 IAM Access Analyzer 政策產生。
如需有關管理 IAM 使用者密碼的資訊,請參閱 管理 IAM 使用者的密碼。
重新命名 IAM 使用者
若要變更使用者的名稱或路徑,則必須使用 AWS CLI、Tools for Windows PowerShell 或 AWS API。主控台中沒有用於重新命名使用者的選項。有關重新命名使用者所需的許可資訊,請參閱 存取 IAM 資源所需的許可。
當您更改使用者名稱或路徑時,會發生以下情況:
-
連接到使用者的所有政策繼續採用新使用名稱。
-
使用者以新名稱保留在相同的 IAM 群組中。
-
該使用者的唯一 ID 保持不變。如需有關唯一 ID 的詳細資訊,請參閱 唯一識別碼。
-
任何將該使用者視為「主體」(向該使用者授予存取權) 的資源或角色政策都會自動更新,以使用新名稱或路徑。例如,Amazon SQS 中的任何佇列類型政策或 Amazon S3 中的任何資源類型政策都會自動更新,以使用新名稱和路徑。
IAM 不會自動更新將該使用者視為資源以使用新使用者名稱或路徑的政策;您只能手動更新。例如,該使用者 Richard 連接了一個政策,而該政策讓使用者可管理其自己的安全憑證。如果管理員將 Richard 重新命名為 Rich,則管理員還需要更新該政策以將資源從:
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard變更為此:
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich如果管理員更改路徑,也會發生這種情況;管理員需要更新政策以反映該使用者使用新路徑。
重新命名使用者
-
AWS CLI:aws iam update-user
-
AWS API:UpdateUser
