AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

创建您的第一个 IAM 管理员用户和组

重要

如果您已位于此页面,并尝试为您的应用程序或网站启用 Amazon Advertising,请参阅成为产品广告 API 开发人员

作为最佳实践,请勿在不必要时使用 AWS 账户根用户 执行任务。而是应为需要管理员访问权限的每个人创建新的 IAM 用户。然后,通过将这些用户放入到一个您附加了 AdministratorAccess 托管策略的“管理员”组中,使这些用户成为管理员。

之后,管理员组中的用户应为 AWS 账户设置组、用户等。所有将来的交互均应通过 AWS 账户的用户及其自己的密钥来进行,而不应使用 根用户。但是,要执行一些账户和服务管理任务,您必须使用 根用户 凭证登录。要查看需要您以 根用户 身份登录的任务,请参阅需要账户根用户的 AWS 任务

创建管理员 IAM 用户和组 (控制台)

此过程将介绍如何使用 AWS 管理控制台自行创建 IAM 用户,并将该用户添加到具有已附加的托管策略中的管理权限的组。

自行创建管理员用户并将该用户添加到管理员组(控制台)

  1. 使用 AWS 账户根用户 电子邮件地址和密码登录到 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Users,然后选择 Add user

  3. 对于 User name,键入用户名,例如 Administrator。名称可包含字母、数字以及以下字符:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。名称不区分大小写,且最大长度可为 64 个字符。

  4. 选中 AWS 管理控制台 access 旁边的复选框,选择 Custom password,然后在文本框中键入新密码。如果您为除您自己以外的某个人创建用户,则可以选择 Require password reset 来强制用户在首次登录时创建新密码。

  5. 选择 Next: Permissions

  6. Set permissions for user 页面上,选择 Add user to group

  7. 选择 Create group

  8. Create group 对话框中,为新组键入名称。名称可包含字母、数字以及以下字符:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。名称不区分大小写,且最大长度可为 128 个字符。

  9. 在策略列表中,选中 AdministratorAccess 旁边的复选框。然后选择 Create group

  10. 返回到组列表中,选中您的新组所对应的复选框。如有必要,选择 Refresh 以在列表中查看该组。

  11. 选择 Next: Review 以查看要添加到新用户的组成员资格的列表。如果您已准备好继续,请选择 Create user

您可使用此相同的流程创建更多的组和用户,并允许您的用户访问 AWS 账户资源。要了解有关使用限制用户对特定 AWS 资源的权限的策略的信息,请参阅访问控制示例策略。要在创建组之后向其中添加其他用户,请参阅在 IAM 群组中添加和删除用户

创建 IAM 用户和组 (AWS CLI)

如果您执行了上一部分中的步骤,则您已使用 AWS 管理控制台来设置一个管理员组,同时在您的 AWS 账户中创建了一个用户。此过程显示创建组的替代方法。

概述:设置管理员组

  1. 创建一个组并为其提供名称 (例如 Admins)。有关更多信息,请参阅 创建组 (AWS CLI)

  2. 附加一个策略以便为组提供管理权限 - 对所有 AWS 操作和资源的访问权限。有关更多信息,请参阅 将策略附加到组 (AWS CLI)

  3. 向组至少添加一个用户。有关更多信息,请参阅 在您的 AWS 账户中创建 IAM 用户

创建组 (AWS CLI)

本部分将介绍如何在 IAM 系统中创建一个群组。

创建管理员组 (AWS CLI)

  1. 键入 aws iam create-group 命令,并使用您为组选择的名称。(可选)您可以包含路径作为该群组名的一部分。有关路径的更多信息,请参阅 易记名称和路径。名称可包含字母、数字以及以下字符:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。名称不区分大小写,且最大长度可为 128 个字符。

    在此示例中,您将创建名为 Admins 的群组。

    aws iam create-group --group-name Admins { "Group": { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws-cn:iam::123456789012:group/Admins", "GroupName": "Admins" } }
  2. 键入 aws iam list-groups 命令以列出您的 AWS 账户中的组并确认该组已创建。

    aws iam list-groups { "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws-cn:iam::123456789012:group/Admins", "GroupName": "Admins" } ] }

    响应中包括您的新群组的 Amazon 资源名称 (ARN)。ARN 是 AWS 用于识别资源的标准格式。ARN 中的 12 位数字是您的 AWS 账户 ID。您分配至群组 (Admins) 的易记名称将在群组 ARN 的末尾显示。

将策略附加到组 (AWS CLI)

本节介绍了如何附加策略,从而允许组中的任何用户对 AWS 账户内的任何资源执行任何操作。您可以通过将名为 AdministratorAccess 的 AWS 托管策略附加到 Admins 组来执行此操作。有关策略的更多信息,请参阅访问控制

添加提供了完整管理员权限的策略 (AWS CLI)

  1. 键入 aws iam attach-group-policy 命令以将名为 AdministratorAccess 的策略附加到 Admins 组。该命令使用名为 AdministratorAccess 的 AWS 托管策略的 ARN。

    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws-cn:iam::aws:policy/AdministratorAccess

    如果命令执行成功,则没有应答。

  2. 键入 aws iam list-attached-group-policies 命令以确认该策略已附加到 Admins 组。

    aws iam list-attached-group-policies --group-name Admins

    在响应中列出附加到 Admins 群组的策略名称。类似如下的响应告诉您名为 AdministratorAccess 的策略已附加到 Admins 组:

    { "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws-cn:iam::aws:policy/AdministratorAccess" } ], "IsTruncated": false }

您可使用 aws iam get-policy 命令来确认特定策略的内容。

重要

在您完成管理员群组的设置后,您必须在该群组中至少添加一位用户。有关向群组中添加用户的更多信息,请参阅在您的 AWS 账户中创建 IAM 用户

相关资源

有关 Amazon Web Services 一般参考 中的相关信息,请参阅以下资源:

有关 IAM 用户指南 中的相关信息,请参阅以下资源: