创建管理员 IAM 用户和组（控制台）创建 IAM 用户和组 (AWS CLI)相关资源

创建您的第一个 IAM 管理员用户和组

重要

如果您已位于此页面，并尝试为您的应用程序或网站启用 Amazon Advertising，请参阅成为产品广告 API 开发人员。

作为最佳实践，请勿在不必要时使用 AWS 账户根用户执行任务。而是应为需要管理员访问权限的每个人创建新的 IAM 用户。然后，通过将这些用户放入到一个您附加了 AdministratorAccess 托管策略的“管理员”组中，使这些用户成为管理员。

之后，管理员组中的用户应为 AWS 账户设置组、用户等。所有将来的交互均应通过 AWS 账户的用户以及他们自己的密钥进行，而不应使用根用户。但是，要执行一些账户和服务管理任务，您必须使用根用户凭证登录。要查看需要您以根用户身份登录的任务，请参阅需要账户根用户的 AWS 任务。

创建管理员 IAM 用户和组（控制台）

此过程将介绍如何使用 AWS 管理控制台自行创建 IAM 用户，并将该用户添加到具有已附加托管策略中的管理权限的组。

自行创建管理员用户并将该用户添加到管理员组（控制台）

通过选择 根用户，然后输入您的 AWS 账户的电子邮件地址，以账户拥有者身份登录到 IAM 控制台。在下一页上，输入您的密码。

注意

强烈建议您遵守以下使用 Administrator IAM 用户的最佳实践，妥善保存根用户凭证。只在执行少数账户和服务管理任务时才作为根用户登录。
为您创建的 IAM 管理员用户启用对账单数据的访问，如下所示：
1. 在导航栏上，选择您的账户名，然后选择我的账户。
2. 选择 IAM 用户和角色访问账单信息的权限旁边的编辑。
3. 选中激活 IAM 访问权限旁边的复选框，然后选择更新。
4. 在导航栏上，选择服务，然后选择 IAM 以返回到 IAM 控制面板。
在导航窗格中，选择用户，然后选择添加用户。
在 Details (详细信息) 页面上，执行以下操作：
1. 对于 User name (用户名)，键入 Administrator。
2. 选中 AWS 管理控制台 access (控制台访问) 的复选框，选择 Custom password (自定义密码)，然后在文本框中键入新密码。
3. 默认情况下，AWS 将强制新用户在首次登录时创建新密码。您可以选择清除 User must create a new password at next sign-in (用户必须在下次登录时创建新密码) 旁边的复选框，以允许新用户在登录后重置其密码。
4. 选择 Next: Permissions (下一步：权限)。
在 Permissions (权限) 页面上，执行以下操作：
1. 选择 Add user to group。
2. 选择 Create group。
3. 在 Create group (创建组) 对话框中，对于 Group name (组名称)，键入 Administrators。
4. 选中 AdministratorAccess 策略的复选框。
5. 选择创建组。
6. 返回到带有组列表的页面，选中您的新组所对应的复选框。如果列表中未显示新组，请选择 Refresh (刷新)。
7. 选择下一步: 标签。
（可选）在 Tags (标签) 页面上，通过以键值对的形式附加标签来向用户添加元数据。有关更多信息，请参阅标记 IAM 用户和角色。
选择 Next: Review。验证要添加到新用户的组成员资格。如果您已准备好继续，请选择 Create user。
（可选）在 Complete (完成) 页面上，您可以下载带有登录信息的 .csv 文件，或者向用户发送带有登录说明的电子邮件。

您可使用此相同的流程创建更多的组和用户，并允许您的用户访问 AWS 账户资源。要了解有关使用限制用户对特定 AWS 资源的权限的策略的信息，请参阅访问控制和IAM 基于身份的策略示例。要在创建组之后向其中添加其他用户，请参阅在 IAM 组中添加和删除用户。

创建 IAM 用户和组 (AWS CLI)

如果执行了上一节中的步骤，则您已使用 AWS 管理控制台设置了一个管理员组，同时在您的 AWS 账户中创建了 IAM 用户。此过程显示创建组的替代方法。

概述：设置管理员组

创建一个组并为其提供名称 (例如 Admins)。有关更多信息，请参阅创建组 (AWS CLI)。
附加一个策略以便为组提供管理权限（对所有 AWS 操作和资源的访问权限）。有关更多信息，请参阅将策略附加到组 (AWS CLI)。
向组至少添加一个用户。有关更多信息，请参阅在您的 AWS 账户中创建 IAM 用户。

创建组 (AWS CLI)

本部分将介绍如何在 IAM 系统中创建一个组。

要求

安装 AWS Command Line Interface (AWS CLI)。有关更多信息，请参阅 AWS Command Line Interface 用户指南 中的安装 AWS CLI。

创建管理员组 (AWS CLI)

键入 aws iam create-group 命令，并使用您为组选择的名称。（可选）您可以包含路径作为该组名的一部分。有关路径的更多信息，请参阅易记名称和路径。名称可包含字母、数字以及以下字符：加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。名称不区分大小写，且最大长度可为 128 个字符。

在此示例中，您将创建名为 Admins 的组。
```
aws iam create-group --group-name Admins
{
    "Group": {
        "Path": "/", 
        "CreateDate": "2014-06-05T20:29:53.622Z", 
        "GroupId":"ABCDEFGHABCDEFGHABCDE",
        "Arn": "arn:aws-cn:iam::123456789012:group/Admins", 
        "GroupName": "Admins"
    }
}
```
键入 aws iam list-groups 命令以列出您的 AWS 账户中的组并确认该组已创建。
```
aws iam list-groups
{
    "Groups": [
        {
            "Path": "/", 
            "CreateDate": "2014-06-05T20:29:53.622Z", 
            "GroupId":"ABCDEFGHABCDEFGHABCDE", 
            "Arn": "arn:aws-cn:iam::123456789012:group/Admins", 
            "GroupName": "Admins"
        }
    ]
}
```
响应中包括您的新组的 Amazon 资源名称 (ARN)。ARN 是 AWS 用于识别资源的标准格式。ARN 中的 12 位数字是您的 AWS 账户 ID。您分配至组 (Admins) 的易记名称将在组 ARN 的末尾显示。

将策略附加到组 (AWS CLI)

本节介绍了如何附加策略，从而允许组中的任何用户对 AWS 账户内的任何资源执行任何操作。您可以通过将名为 AdministratorAccess 的 AWS 托管策略附加到 Admins 组来执行此操作。有关策略的更多信息，请参阅访问控制。

添加提供了完整管理员权限的策略 (AWS CLI)

键入 aws iam attach-group-policy 命令以将名为 AdministratorAccess 的策略附加到 Admins 组。该命令使用名为 AdministratorAccess 的 AWS 托管策略的 ARN。
```
aws iam attach-group-policy --group-name Admins --policy-arn arn:aws-cn:iam::aws:policy/AdministratorAccess
```
如果命令执行成功，则没有应答。
键入 aws iam list-attached-group-policies 命令以确认该策略已附加到 Admins 组。
```
aws iam list-attached-group-policies --group-name Admins
```
在响应中列出附加到 Admins 组的策略名称。类似如下的响应告诉您名为 AdministratorAccess 的策略已附加到 Admins 组：
```
{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws-cn:iam::aws:policy/AdministratorAccess"
        }
    ],
    "IsTruncated": false
}
```

您可使用 aws iam get-policy 命令来确认特定策略的内容。

重要

在您完成管理员组的设置后，您必须在该组中至少添加一位用户。有关向组中添加用户的更多信息，请参阅在您的 AWS 账户中创建 IAM 用户。