创建您的第一个 IAM 管理员用户和用户组
如果您发现此页面是因为您正在寻找有关 Product Advertising API 的信息以在您的网站上销售亚马逊产品,请参阅 Product Advertising API 5.0 文档
作为最佳实践,请勿在不必要时使用 Amazon Web Services 账户 根用户执行任务。而是应为需要管理员访问权限的每个人创建新的 IAM 用户。然后,通过将这些用户放入到一个您附加了 AdministratorAccess
托管策略的“管理员”用户组中,使这些用户成为管理员。
之后,管理员用户组中的用户应为 Amazon 账户设置用户组、用户等。所有将来的交互均应通过 Amazon 账户的用户以及他们自己的密钥进行,而不应使用根用户。但是,要执行一些账户和服务管理任务,您必须使用根用户凭证登录。要查看需要您以根用户身份登录的任务,请参阅 Amazon 需要账户根用户凭证的任务。
创建管理员 IAM 用户和用户组(控制台)
此过程将介绍如何使用 Amazon Web Services Management Console 自行创建 IAM 用户,并将该用户添加到具有已附加托管策略中的管理权限的用户组。
自行创建管理员用户并将该用户添加到管理员用户组(控制台)
-
选择 Root user(根用户)并输入您的 Amazon Web Services 账户 电子邮件地址,以账户拥有者身份登录 IAM 控制台
。在下一页上,输入您的密码。 注意 强烈建议您遵守以下使用
Administrator
IAM 用户的最佳实践,妥善保存根用户凭证。只在执行少数账户和服务管理任务时才作为根用户登录。 -
为您创建的 IAM 管理员用户启用对账单数据的访问,如下所示:
-
在导航栏中,选择账户名称,然后选择 Account(账户)。
-
选择 IAM 用户和角色访问账单信息的权限旁边的编辑。您必须以根用户身份登录,才能在账户页面上显示此部分。
-
选中 Activate IAM Access(激活 IAM 访问权限)旁边的复选框,然后选择 Update(更新)。
-
在导航栏上,选择 Services(服务),然后选择 Security, Identity, & Compliance(安全、身分与合规)下的 IAM 以返回到 IAM 控制面板。
-
-
在导航窗格中,选择 Users(用户),然后选择 Add users(添加用户)。
-
在 Details (详细信息) 页面上,执行以下操作:
-
对于 User name,键入
Administrator
。 -
选中 Amazon Web Services Management Console access (控制台访问) 的复选框,选择 Custom password (自定义密码),然后在文本框中键入新密码。
-
默认情况下,Amazon 将强制新用户在首次登录时创建新密码。您可以选择清除 User must create a new password at next sign-in (用户必须在下次登录时创建新密码) 旁边的复选框,以允许新用户在登录后重置其密码。
-
选择Next: Permissions(下一步: 权限)。
-
-
在 Permissions (权限) 页面上,执行以下操作:
-
选择 Add user to group。
-
选择创建组。
-
在 Create group (创建组) 对话框中,对于 Group name (组名称),键入
Administrators
。 -
选中 AdministratorAccess 策略的复选框。
-
选择创建组。
-
返回到带有用户组列表的页面,选中您的新用户组所对应的复选框。如果列表中未显示新组,请选择 Refresh(刷新)。
-
请选择下一步:标签。
-
-
(可选)在 Tags (标签) 页面上,通过以键值对的形式附加标签来向用户添加元数据。有关更多信息,请参阅标记 IAM 资源。
-
选择 Next: Review(下一步: 审核)。验证要添加到新用户的用户组成员资格。如果您已准备好继续,请选择 Create user(创建用户)。
-
(可选)在 Complete (完成) 页面上,您可以下载带有登录信息的 .csv 文件,或者向用户发送带有登录说明的电子邮件。
您可使用此相同的流程创建更多的用户组和用户,并允许您的用户访问 Amazon 账户资源。要了解有关使用限制用户对特定 Amazon 资源的权限的策略的信息,请参阅适用于 Amazon 资源的 Access Management和IAM 基于身份的策略示例。要在创建用户组之后向其中添加其他用户,请参阅 在 IAM 用户组中添加和删除用户。
创建 IAM 用户和用户组 (Amazon CLI)
如果执行了上一节中的步骤,则您已使用 Amazon Web Services Management Console 设置了一个管理员用户组,同时在您的 Amazon 账户中创建了 IAM 用户。此过程显示创建用户组的替代方法。
概述:设置管理员用户组
-
创建一个用户组并为其提供名称(例如 Admins)。有关更多信息,请参阅创建用户组 (Amazon CLI)。
-
附加一个策略以便为用户组提供管理权限(对所有 Amazon 操作和资源的访问权限)。有关更多信息,请参阅将策略附加到用户组 (Amazon CLI)。
-
向用户组至少添加一个用户。有关更多信息,请参阅在您的 Amazon 账户中创建 IAM 用户。
创建用户组 (Amazon CLI)
本部分将介绍如何在 IAM 系统中创建一个群组。
要求
安装 Amazon Command Line Interface (Amazon CLI)。有关更多信息,请参阅 Amazon Command Line Interface 用户指南中的安装 Amazon CLI。
创建管理员用户组 (Amazon CLI)
-
键入
aws iam create-group
命令,并使用您为用户组选择的名称。(可选)您可以包含路径作为该用户组名的一部分。有关路径的更多信息,请参阅 易记名称和路径。名称可包含字母、数字以及以下字符:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。名称不区分大小写,且最大长度可为 128 个字符。在此示例中,您将创建名为 Admins 的组。
aws iam create-group --group-name Admins
{ "Group": { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
-
键入
aws iam list-groups
命令以列出您的 Amazon 账户中的用户组并确认该用户组已创建。aws iam list-groups
{ "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } ] }
响应中包括您的新用户组的 Amazon Resource Name (ARN)。ARN 是 Amazon 用于识别资源的标准格式。ARN 中的 12 位数字是您的 Amazon 账户 ID。您分配至用户组 (Admins) 的易记名称将在用户组 ARN 的末尾显示。
将策略附加到用户组 (Amazon CLI)
本节介绍了如何附加策略,从而允许用户组中的任何用户对 Amazon 账户内的任何资源执行任何操作。您可以通过将名为 AdministratorAccess 的 Amazon 托管策略附加到 Admins 用户组来执行此操作。有关策略的更多信息,请参阅适用于 Amazon 资源的 Access Management。
添加提供了完整管理员权限的策略 (Amazon CLI)
-
键入
aws iam attach-group-policy
命令以将名为 AdministratorAccess 的策略附加到 Admins 用户组。该命令使用名为 AdministratorAccess 的 Amazon 托管策略的 ARN。aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
如果命令执行成功,则没有应答。
-
键入
aws iam list-attached-group-policies
命令以确认该策略已附加到 Admins 用户组。aws iam list-attached-group-policies --group-name Admins
在响应中列出附加到 Admins 用户组的策略名称。类似如下的响应告诉您名为 AdministratorAccess 的策略已附加到 Admins 用户组:
{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" } ], "IsTruncated": false }
您可使用 aws iam get-policy
命令来确认特定策略的内容。
在您完成管理员组的设置后,您必须在该用户组中至少添加一位用户。有关向用户组中添加用户的更多信息,请参阅 在您的 Amazon 账户中创建 IAM 用户。
相关资源
有关 Amazon Web Services 一般参考中的相关信息,请参阅以下资源:
有关 IAM 用户指南 中的相关信息,请参阅以下资源: