AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 Amazon AWS 入门。

创建您的第一个 IAM 管理员用户和组

重要

如果您已位于此页面，并尝试为您的应用程序或网站启用 Amazon Advertising，请参阅成为产品广告 API 开发人员。

作为最佳实践，请勿在不必要时使用 AWS 账户根用户执行任务。而是应为需要管理员访问权限的每个人创建新的 IAM 用户。然后，通过将这些用户放入到一个您附加了 AdministratorAccess 托管策略的“管理员”组中，使这些用户成为管理员。

之后，管理员组中的用户应为 AWS 账户设置组、用户等。所有将来的交互均应通过 AWS 账户的用户及其自己的密钥来进行，而不应使用根用户。但是，要执行一些账户和服务管理任务，您必须使用根用户凭证登录。要查看需要您以根用户身份登录的任务，请参阅需要账户根用户的 AWS 任务。

创建管理员 IAM 用户和组 (控制台)

此过程将介绍如何使用 AWS 管理控制台自行创建 IAM 用户，并将该用户添加到具有已附加的托管策略中的管理权限的组。

自行创建管理员用户并将该用户添加到管理员组（控制台）

使用 AWS 账户电子邮件地址和密码，以 AWS 账户根用户 身份登录到 IAM 控制台 (https://console.aws.amazon.com/iam/)。

注意

强烈建议您遵守以下使用 Administrator IAM 用户的最佳实践，妥善保存根用户凭证。只在执行少数账户和服务管理任务时才作为根用户登录。
在导航窗格中，选择用户，然后选择添加用户。
对于 User name，键入 Administrator。
选中 AWS 管理控制台 access 旁边的复选框，选择 Custom password，然后在文本框中键入新密码。默认情况下，AWS 将强制新用户在首次登录时创建新密码。您可以选择清除 User must create a new password at next sign-in (用户必须在下次登录时创建新密码) 旁边的复选框，以允许新用户在登录后重置其密码。
选择 Next: Permissions。
在设置权限页面上，选择将用户添加到组。
选择 Create group。
在 Create group (创建组) 对话框中，对于 Group name (组名称)，键入 Administrators。
对于 Filter policies (筛选策略)，选中 AWS managed - job function (AWS 托管 - 工作职能) 的复选框。
在策略列表中，选中 AdministratorAccess 的复选框。然后选择 Create group。
返回到组列表中，选中您的新组所对应的复选框。如有必要，选择 Refresh 以在列表中查看该组。
选择 Next: Review 以查看要添加到新用户的组成员资格的列表。如果您已准备好继续，请选择 Create user。

您可使用此相同的流程创建更多的组和用户，并允许您的用户访问 AWS 账户资源。要了解有关使用限制用户对特定 AWS 资源的权限的策略的信息，请参阅访问控制和示例策略。要在创建组之后向其中添加其他用户，请参阅在 IAM 群组中添加和删除用户。

创建 IAM 用户和组 (AWS CLI)

如果您执行了上一部分中的步骤，则您已使用 AWS 管理控制台设置了一个管理员组，同时在您的 AWS 账户中创建了 IAM 用户。此过程显示创建组的替代方法。

概述：设置管理员组

创建一个组并为其提供名称 (例如 Admins)。有关更多信息，请参阅创建组 (AWS CLI)。
附加一个策略以便为组提供管理权限 - 对所有 AWS 操作和资源的访问权限。有关更多信息，请参阅将策略附加到组 (AWS CLI)。
向组至少添加一个用户。有关更多信息，请参阅在您的 AWS 账户中创建 IAM 用户。

创建组 (AWS CLI)

本部分将介绍如何在 IAM 系统中创建一个群组。

创建管理员组 (AWS CLI)

键入 aws iam create-group 命令，并使用您为组选择的名称。（可选）您可以包含路径作为该群组名的一部分。有关路径的更多信息，请参阅易记名称和路径。名称可包含字母、数字以及以下字符：加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。名称不区分大小写，且最大长度可为 128 个字符。

在此示例中，您将创建名为 Admins 的群组。
```
aws iam create-group --group-name Admins
{
    "Group": {
        "Path": "/", 
        "CreateDate": "2014-06-05T20:29:53.622Z", 
        "GroupId":"ABCDEFGHABCDEFGHABCDE",
        "Arn": "arn:aws-cn:iam::123456789012:group/Admins", 
        "GroupName": "Admins"
    }
}
```
键入 aws iam list-groups 命令以列出您的 AWS 账户中的组并确认该组已创建。
```
aws iam list-groups
{
    "Groups": [
        {
            "Path": "/", 
            "CreateDate": "2014-06-05T20:29:53.622Z", 
            "GroupId":"ABCDEFGHABCDEFGHABCDE", 
            "Arn": "arn:aws-cn:iam::123456789012:group/Admins", 
            "GroupName": "Admins"
        }
    ]
}
```
响应中包括您的新群组的 Amazon 资源名称 (ARN)。ARN 是 AWS 用于识别资源的标准格式。ARN 中的 12 位数字是您的 AWS 账户 ID。您分配至群组 (Admins) 的易记名称将在群组 ARN 的末尾显示。

将策略附加到组 (AWS CLI)

本节介绍了如何附加策略，从而允许组中的任何用户对 AWS 账户内的任何资源执行任何操作。您可以通过将名为 AdministratorAccess 的 AWS 托管策略附加到 Admins 组来执行此操作。有关策略的更多信息，请参阅访问控制。

添加提供了完整管理员权限的策略 (AWS CLI)

键入 aws iam attach-group-policy 命令以将名为 AdministratorAccess 的策略附加到 Admins 组。该命令使用名为 AdministratorAccess 的 AWS 托管策略的 ARN。
```
aws iam attach-group-policy --group-name Admins --policy-arn arn:aws-cn:iam::aws:policy/AdministratorAccess
```
如果命令执行成功，则没有应答。
键入 aws iam list-attached-group-policies 命令以确认该策略已附加到 Admins 组。
```
aws iam list-attached-group-policies --group-name Admins
```
在响应中列出附加到 Admins 群组的策略名称。类似如下的响应告诉您名为 AdministratorAccess 的策略已附加到 Admins 组：
```
{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws-cn:iam::aws:policy/AdministratorAccess"
        }
    ],
    "IsTruncated": false
}
```

您可使用 aws iam get-policy 命令来确认特定策略的内容。

重要

在您完成管理员群组的设置后，您必须在该群组中至少添加一位用户。有关向群组中添加用户的更多信息，请参阅在您的 AWS 账户中创建 IAM 用户。