创建您的第一个 IAM 委派用户和组
要支持您的 Amazon 账户中的多个用户,您必须委派权限以允许其他人仅执行您要允许的操作。为此,请创建一个 IAM 用户组(其中具有这些用户所需的权限),然后在创建必要的组时将 IAM 用户添加到这些组。您可以使用此过程为您的整个 Amazon 账户设置用户组、用户和权限。
此解决方案最适合中小型企业,其中 Amazon 管理员可以手动管理用户和用户组。对于大型企业,您可以使用自定义 IAM 角色、联合身份验证或单点登录。
创建委派的 IAM 用户和用户组(控制台)
您可以使用 Amazon Web Services Management Console 创建具有委派权限的 IAM 用户组。然后,为其他人创建 IAM 用户并将此用户添加到用户组。
为其他人创建委派用户组和用户(控制台)
登录 Amazon Web Services Management Console,打开 IAM 控制台 https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
如果这是您首次选择 Policies,则会显示 Welcome to Managed Policies 页面。选择 Get Started 。
-
选择创建策略。
-
选择 JSON 选项卡,然后在窗口右侧,选择 Import managed policies (导入托管策略)。
-
在 Import managed policies (导入托管策略) 窗口中,键入
power以缩小策略列表。然后选择 PowerUserAccess 行。 -
选择 Import(导入)将策略显示在 JSON 选项卡。
-
选择 Next: Tags (下一步: 标签),然后选择 Next: Review (下一步: 审核)。
-
在 Review policy(查看策略)页面上,对于 Name(名称),键入
PowerUserExampleCorp。对于描述,键入Allows full access to all services except those for user management。然后,选择创建策略以保存您的工作。 -
在导航窗格中,选择 Groups(组),然后选择 Create New Group(创建新组)。
-
在 User group name(用户组名称)框中,键入
PowerUsers。 -
在策略列表中,选中 PowerUserExampleCorp 旁边的复选框。
-
选择创建组。
-
在导航窗格中,选择 Users(用户),然后选择 Add users(添加用户)。
-
对于 User name,键入
mary.major@examplecorp.com。 -
选择 Add another user (添加其他用户) 并键入
diego.ramirez@examplecorp.com作为第二个用户。 -
选中 Amazon Web Services Management Console access(控制台访问)旁边的复选框,然后选择 Autogenerated password(自动生成的密码)。默认情况下,Amazon 将强制新用户在首次登录时创建新密码。选中 User must create a new password at next sign-in(用户必须在下次登录时创建新密码)旁边的复选框。
-
选择下一步:权限。
-
在 Set permissions(设置权限)页面上,不要向用户添加权限。您将在用户确认他们已更改密码并登录后添加策略。
-
选择下一步: 标签。
-
(可选)通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 标记 IAM 资源。
-
选择 Next: Review(下一步: 审核)以查看要添加到新用户的用户组成员资格的列表。如果您准备好继续,请选择 Create users (创建用户)。
-
下载或复制新用户的密码并安全地将其提供给用户。单独为您的用户提供指向您的 IAM 用户控制台页面的链接及其用户名。
-
用户确认他们可以成功登录后,如有必要,请在导航窗格中选择 Users(用户)。然后选择其中一个用户的名称。
-
在 Permissions(权限)选项卡中,请选择 Add permissions(添加权限)。选择 Add user to group(将用户添加到组),然后选中 PowerUsers(高级用户)旁边的复选框。
-
选择 Next: Review(下一步:审核),然后选择 Add permissions(添加权限)。
减少用户组权限
PowerUser 组的成员可以完全访问除提供用户管理操作的少数服务之外的所有服务(如 IAM 和 Organizations)。经过预定义的不活动时段(如 90 天)后,您可以查看用户组成员已访问的服务。然后,您可以减少 PowerUserExampleCorp 策略的权限以仅包含您的团队所需的服务。
有关上次访问的信息的更多信息,请参阅使用上次访问的信息优化 Amazon 中的权限。
查看上次访问的信息
等待预定义的不活动时段(如 90 天)经过。然后,查看您的用户或用户组上次访问的信息,以了解用户上次尝试访问您的 PowerUserExampleCorp 策略允许的服务的时间。
登录 Amazon Web Services Management Console,打开 IAM 控制台 https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 User groups(用户组),然后选择 PowerUser 组名称。
-
在用户组摘要页面上,选择 Access Advisor(访问顾问)选项卡。
上次访问的信息表显示用户组成员上次尝试访问每个服务的时间(按时间顺序,从最近的尝试开始)。该表仅包含策略允许的服务。在此情况下,
PowerUserExampleCorp策略允许访问所有 Amazon 服务。 -
查看此表并生成您的用户组成员最近访问过的服务的列表。
例如,假设在上个月内,您的团队仅访问了 Amazon EC2 和 Amazon S3 服务。但六个月前,他们访问了 Amazon EC2 Auto Scaling 和 IAM。您知道他们正在调查 EC2 Auto Scaling,但您认定不需要这样做。您还知道他们使用 IAM 创建角色以允许 Amazon EC2 访问 S3 存储桶中的数据。因此,您决定减少用户的权限,以仅允许访问 Amazon EC2 和 Amazon S3 服务。
编辑策略以减少权限
在查看上次访问的信息后,可以编辑策略以仅允许访问您的用户所需的服务。
使用数据以仅允许访问必要的服务
-
在导航窗格中,选择 Policies (策略),然后选择 PowerUserExampleCorp 策略名称。
-
选择 Edit policy (编辑策略),然后选择 JSON 选项卡。
-
编辑 JSON 策略文档以仅允许所需的服务。
例如,编辑第一个包括
Allow效果和NotAction元素的语句以仅允许 Amazon EC2 和 Amazon S3 操作。为此,请将其替换为具有FullAccessToSomeServicesID 的语句。您的新策略将类似于以下示例策略。{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccessToSomeServices", "Effect": "Allow", "Action": [ "ec2:*", "s3:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:DeleteServiceLinkedRole", "iam:ListRoles", "organizations:DescribeOrganization" ], "Resource": "*" } ] } -
要进一步减少策略对特定操作和资源的权限,请在 CloudTrail Event history(事件历史记录)中查看您的事件。在此处,您可以查看有关用户已访问的特定操作和资源的详细信息。有关更多信息,请参阅 Amazon CloudTrail 用户指南中的在 CloudTrail 控制台中查看 CloudTrail 事件。