AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 Amazon AWS 入门。

创建您的第一个 IAM 管理员用户和组

重要

如果您已位于此页面，并尝试为您的应用程序或网站启用 Amazon Advertising，请参阅成为产品广告 API 开发人员。

作为最佳实践，请勿在不必要时使用 AWS 账户根用户执行任务。而是应为需要管理员访问权限的每个人创建新的 IAM 用户。然后，通过将这些用户放入到一个您附加了 AdministratorAccess 托管策略的“管理员”组中，使这些用户成为管理员。

之后，管理员组中的用户应为 AWS 账户设置组、用户等。所有将来的交互均应通过 AWS 账户的用户以及他们自己的密钥进行，而不应使用根用户。但是，要执行一些账户和服务管理任务，您必须使用根用户凭证登录。要查看需要您以根用户身份登录的任务，请参阅需要账户根用户的 AWS 任务。

创建管理员 IAM 用户和组（控制台）

此过程将介绍如何使用 AWS 管理控制台自行创建 IAM 用户，并将该用户添加到具有已附加托管策略中的管理权限的组。

自行创建管理员用户并将该用户添加到管理员组（控制台）

使用 AWS 账户电子邮件地址和密码，以 AWS 账户根用户 身份登录到 IAM 控制台 (https://console.aws.amazon.com/iam/)。

注意

强烈建议您遵守以下使用 Administrator IAM 用户的最佳实践，妥善保存根用户凭证。只在执行少数账户和服务管理任务时才作为根用户登录。
在导航窗格中，选择 Users (用户)，然后选择Add user (添加用户)。
对于 User name，键入 Administrator。
选中 AWS 管理控制台 access (AWS 管理控制台访问) 旁边的复选框，选择 Custom password (自定义密码)，然后在文本框中键入新密码。默认情况下，AWS 将强制新用户在首次登录时创建新密码。您可以选择清除 User must create a new password at next sign-in (用户必须在下次登录时创建新密码) 旁边的复选框，以允许新用户在登录后重置其密码。
选择 Next: Permissions (下一步: 权限)。
在设置权限页面上，选择将用户添加到组。
选择 Create group。
在 Create group (创建组) 对话框中，对于 Group name (组名称)，键入 Administrators。
选择 Policy Type (策略类型)，然后选择 Job function (作业功能) 以筛选表内容。
在策略列表中，选中 AdministratorAccess 的复选框。然后选择 Create group。

注意

您必须先激活 IAM 用户和角色对账单的访问权限，然后才能使用 AdministratorAccess 权限访问 AWS Billing and Cost Management 控制台。为此，请按照“向账单控制台委派访问权限”教程：第 1 步中的说明进行操作。
返回到组列表中，选中您的新组所对应的复选框。如有必要，选择 Refresh 以在列表中查看该组。
选择 Next: Tagging (下一步: 标记)。
（可选）通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息，请参阅标记 IAM 实体。
选择 Next: Review 以查看要添加到新用户的组成员资格的列表。如果您已准备好继续，请选择 Create user。

您可使用此相同的流程创建更多的组和用户，并允许您的用户访问 AWS 账户资源。要了解有关使用限制用户对特定 AWS 资源的权限的策略的信息，请参阅访问控制和IAM 基于身份的策略示例。要在创建组之后向其中添加其他用户，请参阅在 IAM 组中添加和删除用户。

创建 IAM 用户和组 (AWS CLI)

如果执行了上一节中的步骤，则您已使用 AWS 管理控制台设置了一个管理员组，同时在您的 AWS 账户中创建了 IAM 用户。此过程显示创建组的替代方法。

概述：设置管理员组

创建一个组并为其提供名称 (例如 Admins)。有关更多信息，请参阅创建组 (AWS CLI)。
附加一个策略以便为组提供管理权限（对所有 AWS 操作和资源的访问权限）。有关更多信息，请参阅将策略附加到组 (AWS CLI)。
向组至少添加一个用户。有关更多信息，请参阅在您的 AWS 账户中创建 IAM 用户。

创建组 (AWS CLI)

本部分将介绍如何在 IAM 系统中创建一个组。

创建管理员组 (AWS CLI)

键入 aws iam create-group 命令，并使用您为组选择的名称。（可选）您可以包含路径作为该群组名的一部分。有关路径的更多信息，请参阅易记名称和路径。名称可包含字母、数字以及以下字符：加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。名称不区分大小写，且最大长度可为 128 个字符。

在此示例中，您将创建名为 Admins 的组。
```
aws iam create-group --group-name Admins
{
    "Group": {
        "Path": "/", 
        "CreateDate": "2014-06-05T20:29:53.622Z", 
        "GroupId":"ABCDEFGHABCDEFGHABCDE",
        "Arn": "arn:aws-cn:iam::123456789012:group/Admins", 
        "GroupName": "Admins"
    }
}
```
键入 aws iam list-groups 命令以列出您的 AWS 账户中的组并确认该组已创建。
```
aws iam list-groups
{
    "Groups": [
        {
            "Path": "/", 
            "CreateDate": "2014-06-05T20:29:53.622Z", 
            "GroupId":"ABCDEFGHABCDEFGHABCDE", 
            "Arn": "arn:aws-cn:iam::123456789012:group/Admins", 
            "GroupName": "Admins"
        }
    ]
}
```
响应中包括您的新群组的 Amazon 资源名称 (ARN)。ARN 是 AWS 用于识别资源的标准格式。ARN 中的 12 位数字是您的 AWS 账户 ID。您分配至组 (Admins) 的易记名称将在组 ARN 的末尾显示。

将策略附加到组 (AWS CLI)

本节介绍了如何附加策略，从而允许组中的任何用户对 AWS 账户内的任何资源执行任何操作。您可以通过将名为 AdministratorAccess 的 AWS 托管策略附加到 Admins 组来执行此操作。有关策略的更多信息，请参阅访问控制。

添加提供了完整管理员权限的策略 (AWS CLI)

键入 aws iam attach-group-policy 命令以将名为 AdministratorAccess 的策略附加到 Admins 组。该命令使用名为 AdministratorAccess 的 AWS 托管策略的 ARN。
```
aws iam attach-group-policy --group-name Admins --policy-arn arn:aws-cn:iam::aws:policy/AdministratorAccess
```
如果命令执行成功，则没有应答。
键入 aws iam list-attached-group-policies 命令以确认该策略已附加到 Admins 组。
```
aws iam list-attached-group-policies --group-name Admins
```
在响应中列出附加到 Admins 组的策略名称。类似如下的响应告诉您名为 AdministratorAccess 的策略已附加到 Admins 组：
```
{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws-cn:iam::aws:policy/AdministratorAccess"
        }
    ],
    "IsTruncated": false
}
```

您可使用 aws iam get-policy 命令来确认特定策略的内容。

重要

在您完成管理员群组的设置后，您必须在该群组中至少添加一位用户。有关向组中添加用户的更多信息，请参阅在您的 AWS 账户中创建 IAM 用户。