AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

用户如何登录您的账户

在您创建 IAM 用户并为每个用户创建密码后,各个用户可以使用您的账户 ID 或别名以您 AWS 账户的身份登录到 AWS 管理控制台,或从一个包含您的账户 ID 的特殊 URL 登录。

默认情况下,您的账户的登录 URL 包括您的账户 ID。您可以为账户创建唯一的登录 URL,以使 URL 包含名称而不是账户 ID。有关更多信息,请参阅 AWS 账户 ID 及其别名

登录终端节点遵循这种模式:

https://AWS-account-ID-or-alias.signin.amazonaws.cn/console

您可以在 IAM 控制台控制面板中找到账户的登录 URL。

 IAM 控制面板,登录 URL

您还可以在以下终端节点登录并手动输入账户 ID 或别名,而不是将账户 ID 或别名嵌入 URL 中:

https://signin.amazonaws.cn/console

提示

要在 Web 浏览器中为您账户的唯一登录页面创建书签,应在标签条目中手动输入您的账户的登录 URL。请勿使用 Web 浏览器的“将此页标记为书签”功能。

您的账户中的 IAM 用户仅能访问您在附加到用户或用户所属的 IAM 组的策略中指定的 AWS 资源。要在控制台开展工作,用户必须有权限执行控制台执行的操作(例如列出和创建 AWS 资源)。有关更多信息,请参阅 访问控制示例策略

注意

如果组织现在有一个身份系统,您可能需要创建单一登录 (SSO) 选项。SSO 向用户提供访问您的账户的 AWS 管理控制台的权限,而无需他们具有 IAM 用户身份。SSO 也无需用户单独登录您的组织的网站和 AWS。有关更多信息,请参阅 创建一个使联合身份用户能够访问 AWS 管理控制台 (自定义联合代理) 的 URL

在 CloudTrail 中记录登录详细信息

如果您允许 CloudTrail 将登录事件记录到您的日志中,您需要了解 CloudTrail 如何选择在何处记录事件。

  • 如果您的用户直接登录到控制台,则系统会根据所选服务控制台是否支持区域,将他们重定向到全局或区域登录终端节点。例如,主控制台主页支持区域,因此,如果您登录以下 URL:

    https://alias.signin.aws.amazon.com/console

    您会被重定向到“默认”的区域登录终端节点 https://us-east-1.signin.aws.amazon.com,从而导致该区域日志中产生一个区域 CloudTrail 日志条目:

    另一方面,Amazon S3 控制台不支持区域,因此,如果您登录到以下 URL

    https://alias.signin.aws.amazon.com/console/s3

    AWS 会将您重定向到全局登录终端节点 https://signin.aws.amazon.com,引发一个全局 CloudTrail 日志条目。

  • 您可以通过使用类似如下的 URL 语法登录到启用区域的主控制台主页,来手动请求特定区域网站终端节点:

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS 将您重定向到 ap-southeast-1 区域登录终端节点并使该区域中产生一个 CloudTrail 日志事件。

有关 CloudTrail 和 IAM 的更多信息,请参阅使用 AWS CloudTrail 记录 IAM 事件

创建、修改和查看访问密钥 (控制台)中所述,如果用户需要编程访问来使用您的账户,则可以为所有用户创建访问密钥对(访问密钥 ID 和秘密密钥)。