创建您的第一个 IAM 管理员用户和用户组 - Amazon Identity and Access Management
创建管理员 IAM 用户和用户组(控制台)创建 IAM 用户和用户组 (Amazon CLI)相关资源
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

创建您的第一个 IAM 管理员用户和用户组

重要

如果您发现此页面是因为您正在寻找有关 Product Advertising API 的信息以在您的网站上销售亚马逊产品,请参阅 Product Advertising API 5.0 文档

作为最佳实践,请勿在不必要时使用 Amazon Web Services 账户 根用户执行任务。而是应为需要管理员访问权限的每个人创建新的 IAM 用户。然后,通过将这些用户放入到一个您附加了 AdministratorAccess 托管策略的“管理员”用户组中,使这些用户成为管理员。

之后,管理员用户组中的用户应为 Amazon 账户设置用户组、用户等。所有将来的交互均应通过 Amazon 账户的用户以及他们自己的密钥进行,而不应使用根用户。但是,要执行一些账户和服务管理任务,您必须使用根用户凭证登录。要查看需要您以根用户身份登录的任务,请参阅 Amazon 需要账户根用户凭证的任务

创建管理员 IAM 用户和用户组(控制台)

此过程将介绍如何使用 Amazon Web Services Management Console 自行创建 IAM 用户,并将该用户添加到具有已附加托管策略中的管理权限的用户组。

自行创建管理员用户并将该用户添加到管理员用户组(控制台)

  1. 选择 Root user(根用户)并输入您的 Amazon Web Services 账户 电子邮件地址,以账户拥有者身份登录 IAM 控制台。在下一页上,输入您的密码。

    注意

    强烈建议您遵守以下使用 Administrator IAM 用户的最佳实践,妥善保存根用户凭证。只在执行少数账户和服务管理任务时才作为根用户登录。

  2. 为您创建的 IAM 管理员用户启用对账单数据的访问,如下所示:

    1. 在导航栏中,选择账户名称,然后选择 Account(账户)。

    2. 选择 IAM 用户和角色访问账单信息的权限旁边的编辑。您必须以根用户身份登录,才能在账户页面上显示此部分。

    3. 选中 Activate IAM Access(激活 IAM 访问权限)旁边的复选框,然后选择 Update(更新)。

    4. 在导航栏上,选择 Services(服务),然后选择 Security, Identity, & Compliance(安全、身分与合规)下的 IAM 以返回到 IAM 控制面板。

  3. 在导航窗格中,选择 Users(用户),然后选择 Add users(添加用户)。

  4. Details (详细信息) 页面上,执行以下操作:

    1. 对于 User name,键入 Administrator

    2. 选中 Amazon Web Services Management Console access (控制台访问) 的复选框,选择 Custom password (自定义密码),然后在文本框中键入新密码。

    3. 默认情况下,Amazon 将强制新用户在首次登录时创建新密码。您可以选择清除 User must create a new password at next sign-in (用户必须在下次登录时创建新密码) 旁边的复选框,以允许新用户在登录后重置其密码。

    4. 选择Next: Permissions(下一步: 权限)

  5. Permissions (权限) 页面上,执行以下操作:

    1. 选择 Add user to group

    2. 选择创建组

    3. Create group (创建组) 对话框中,对于 Group name (组名称),键入 Administrators

    4. 选中 AdministratorAccess 策略的复选框。

    5. 选择创建组

    6. 返回到带有用户组列表的页面,选中您的新用户组所对应的复选框。如果列表中未显示新组,请选择 Refresh(刷新)。

    7. 请选择下一步:标签

  6. (可选)在 Tags (标签) 页面上,通过以键值对的形式附加标签来向用户添加元数据。有关更多信息,请参阅标记 IAM 资源

  7. 选择 Next: Review(下一步: 审核)。验证要添加到新用户的用户组成员资格。如果您已准备好继续,请选择 Create user(创建用户)。

  8. (可选)在 Complete (完成) 页面上,您可以下载带有登录信息的 .csv 文件,或者向用户发送带有登录说明的电子邮件。

您可使用此相同的流程创建更多的用户组和用户,并允许您的用户访问 Amazon 账户资源。要了解有关使用限制用户对特定 Amazon 资源的权限的策略的信息,请参阅适用于 Amazon 资源的 Access ManagementIAM 基于身份的策略示例。要在创建用户组之后向其中添加其他用户,请参阅 在 IAM 用户组中添加和删除用户

创建 IAM 用户和用户组 (Amazon CLI)

如果执行了上一节中的步骤,则您已使用 Amazon Web Services Management Console 设置了一个管理员用户组,同时在您的 Amazon 账户中创建了 IAM 用户。此过程显示创建用户组的替代方法。

概述:设置管理员用户组

  1. 创建一个用户组并为其提供名称(例如 Admins)。有关更多信息,请参阅创建用户组 (Amazon CLI)

  2. 附加一个策略以便为用户组提供管理权限(对所有 Amazon 操作和资源的访问权限)。有关更多信息,请参阅将策略附加到用户组 (Amazon CLI)

  3. 向用户组至少添加一个用户。有关更多信息,请参阅在您的 Amazon 账户中创建 IAM 用户

创建用户组 (Amazon CLI)

本部分将介绍如何在 IAM 系统中创建一个群组。

要求

安装 Amazon Command Line Interface (Amazon CLI)。有关更多信息,请参阅 Amazon Command Line Interface 用户指南中的安装 Amazon CLI

创建管理员用户组 (Amazon CLI)

  1. 键入 aws iam create-group 命令,并使用您为用户组选择的名称。(可选)您可以包含路径作为该用户组名的一部分。有关路径的更多信息,请参阅 易记名称和路径。名称可包含字母、数字以及以下字符:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。名称不区分大小写,且最大长度可为 128 个字符。

    在此示例中,您将创建名为 Admins 的组。

    aws iam create-group --group-name Admins
{
    "Group": {
        "Path": "/", 
        "CreateDate": "2014-06-05T20:29:53.622Z", 
        "GroupId":"ABCDEFGHABCDEFGHABCDE",
        "Arn": "arn:aws:iam::123456789012:group/Admins", 
        "GroupName": "Admins"
    }
}

  2. 键入 aws iam list-groups 命令以列出您的 Amazon 账户中的用户组并确认该用户组已创建。

    aws iam list-groups
{
    "Groups": [
        {
            "Path": "/", 
            "CreateDate": "2014-06-05T20:29:53.622Z", 
            "GroupId":"ABCDEFGHABCDEFGHABCDE", 
            "Arn": "arn:aws:iam::123456789012:group/Admins", 
            "GroupName": "Admins"
        }
    ]
}

    响应中包括您的新用户组的 Amazon Resource Name (ARN)。ARN 是 Amazon 用于识别资源的标准格式。ARN 中的 12 位数字是您的 Amazon 账户 ID。您分配至用户组 (Admins) 的易记名称将在用户组 ARN 的末尾显示。

将策略附加到用户组 (Amazon CLI)

本节介绍了如何附加策略,从而允许用户组中的任何用户对 Amazon 账户内的任何资源执行任何操作。您可以通过将名为 AdministratorAccess 的 Amazon 托管策略附加到 Admins 用户组来执行此操作。有关策略的更多信息,请参阅适用于 Amazon 资源的 Access Management

添加提供了完整管理员权限的策略 (Amazon CLI)

  1. 键入 aws iam attach-group-policy 命令以将名为 AdministratorAccess 的策略附加到 Admins 用户组。该命令使用名为 AdministratorAccess 的 Amazon 托管策略的 ARN。

    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

    如果命令执行成功,则没有应答。

  2. 键入 aws iam list-attached-group-policies 命令以确认该策略已附加到 Admins 用户组。

    aws iam list-attached-group-policies --group-name Admins

    在响应中列出附加到 Admins 用户组的策略名称。类似如下的响应告诉您名为 AdministratorAccess 的策略已附加到 Admins 用户组:

    {
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        }
    ],
    "IsTruncated": false
}

您可使用 aws iam get-policy 命令来确认特定策略的内容。

重要

在您完成管理员组的设置后,您必须在该用户组中至少添加一位用户。有关向用户组中添加用户的更多信息,请参阅 在您的 Amazon 账户中创建 IAM 用户

相关资源

有关 Amazon Web Services 一般参考中的相关信息,请参阅以下资源:

有关 IAM 用户指南 中的相关信息,请参阅以下资源: