开始设置
AWS Identity and Access Management (IAM) 可帮助您安全地控制对 Amazon Web Services (AWS) 和您的 AWS 资源的访问。此外,IAM 还可使账户凭证保持私密。利用 IAM,您可以在您的 AWS 账户的伞形结构下创建多个 IAM 用户,或通过与企业目录的联合身份实现临时访问。在某些情况下,您也可以实现跨 AWS 账户访问资源。
但是,如果不使用 IAM,则只有两种方法:一种是您必须创建多个 AWS 账户(即,每个账户都有自己针对 AWS 产品的计费和订阅),另一种是您的员工必须共享一个 AWS 账户的安全凭证。此外,如果不使用 IAM,您无法控制特定用户或系统可以完成的任务以及他们可能使用哪些 AWS 资源。
本指南提供了关于 IAM 的概念综述、描述了商用案例并说明了 AWS 权限和策略。
使用 IAM 为用户授予对您的 AWS 资源的访问权限
以下是您可以使用 IAM 控制您的 AWS 资源访问权限的几种方式:
| 访问权限类型 | 我为什么使用这种方式? | 怎样获取更多信息? |
|---|---|---|
|
您的 AWS 账户中的用户访问权限 |
您想要在您的 AWS 账户的伞形结构下添加用户,并希望使用 IAM 创建用户并管理他们的许可。 |
要了解如何使用 AWS 管理控制台 在您的 AWS 账户下创建用户和管理其权限,请参阅 入门。 要了解如何使用 IAM API 或 AWS Command Line Interface 在您的 AWS 账户下创建用户,请参阅 创建您的第一个 IAM 管理员用户和组。 有关使用 IAM 用户的更多信息,请参阅 身份 (用户、组和角色)。 |
|
通过您的认证系统和 AWS 之间的联合身份验证实现非 AWS 用户访问 |
您的身份和认证系统中有非 AWS 用户,他们需要访问您的 AWS 资源。 |
要了解如何使用安全令牌通过与您的公司目录之间的联合身份验证赋予用户访问您的 AWS 账户资源的权限,请转至临时安全凭证。有关 AWS Security Token Service API 的信息,请转到 AWS 安全令牌服务 API 参考。 |
|
AWS 账户间的跨账户访问权限 |
您想要与其他 AWS 账户下的用户共享对特定 AWS 资源的访问权限。 |
要了解如何使用 IAM 向其他 AWS 账户授权,请参阅角色术语和概念。 |
我是否需要注册 IAM?
如果您目前没有 AWS 账户,则需要创建一个账户才能使用 IAM。您无需专门注册使用 IAM。IAM 不收费。
注意
IAM 仅适用于与 IAM 集成的 AWS 产品。有关支持 IAM 的服务的列表,请参阅使用 IAM 的 AWS 服务。
注册 AWS
-
打开 http://www.amazonaws.cn/,然后选择 Create an AWS Account (创建 AWS 账户)。
注意
如果您之前曾使用 AWS 账户根用户 凭证登录 AWS 管理控制台,请选择 Sign in to a different account (登录其他账户)。如果您之前曾使用 IAM 凭证登录控制台,请选择 Sign-in using root account credentials (使用根账户凭证登录)。然后选择 Create a new AWS account (创建新的 AWS 账户)。
-
按照联机说明操作。
在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。
其他资源
以下资源可以帮助您使用 IAM 完成任务。
-
管理 AWS 账户证书:AWS General Reference 中的 AWS 安全证书
-
开始并详细了解有关什么是 IAM? 的信息
-
设置命令行接口 (CLI) 以与 IAM 一起使用。有关跨平台 AWS CLI,请参阅 AWS 命令行接口文档和 IAM CLI 参考。您还可以使用 Windows PowerShell 管理 IAM;请参阅适用于 Windows PowerShell 的 AWS 工具文档和 IAM Windows PowerShell 参考。
-
下载 AWS 开发工具包以便以编程方式访问 IAM:用于 Amazon Web Services 的工具
-
获取技术支持:AWS Support 中心
-
获取高级技术支持:AWS Premium Support 中心
-
查找 AWS 术语的定义:Amazon Web Services 术语表
-
获取社群支持:IAM 开发论坛
-
联系 AWS:联系我们