AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

用户如何登录您的账户

在您创建 IAM 用户(带有密码)后,这些用户可使用您的账户 ID 或别名登录到 AWS 管理控制台,或从一个包含您的账户 ID 的自定义 URL 进行登录。

注意

如果贵公司现在有一个身份系统,您可能需要创建单一登录 (SSO) 选项。SSO 向用户提供对 AWS 管理控制台 的访问权限,而不要求他们具有 IAM 用户身份。SSO 也无需用户单独登录您的组织的网站和 AWS。有关更多信息,请参阅 创建一个使联合用户能够访问 AWS 管理控制台(自定义联合代理)的 URL

在为您的账户创建登录 URL 前,您可以创建账户别名,使得 URL 包含您的账户名称而不是账户 ID。有关更多信息,请参阅 AWS 账户 ID 及其别名

您可以在 IAM 控制台控制面板中找到账户的登录 URL。


      IAM 控制面板、登录 URL

要为您的 IAM 用户创建登录 URL,请使用以下模式:

https://account-ID-or-alias.signin.www.amazonaws.cn/console

IAM 用户还可以在以下终端节点登录并手动输入账户 ID 或别名,而不是使用您的自定义 URL:

https://signin.www.amazonaws.cn/console

控制台活动所需的权限

您的账户中的 IAM 用户仅能访问您在附加到用户或用户所属的 IAM 组的策略中指定的 AWS 资源。要在控制台开展工作,用户必须有权限执行控制台执行的操作(例如列出和创建 AWS 资源)。有关更多信息,请参阅访问控制IAM 基于身份的策略示例

在 CloudTrail 中记录登录详细信息

如果您启用 CloudTrail 来记录登录事件,则必须了解 CloudTrail 记录事件的方式。

  • 如果您的用户直接登录到控制台,系统会将他们重定向到全局或区域登录终端节点。此重定向基于所选服务控制台是否支持区域。例如,主控制台主页支持区域,因此,如果您登录以下 URL,系统会将您重定向到“默认”区域登录终端节点 https://us-east-1.signin.www.amazonaws.cn

    https://alias.signin.aws.amazon.com/console

    这会在该区域的日志中产生一个区域 CloudTrail 日志条目。

    某些服务的控制台(如 Amazon S3)不支持区域。这意味着,如果您使用以下 URL 登录该服务,AWS 会将您重定向到 https://signin.www.amazonaws.cn 处的全局登录终端节点。

    https://alias.signin.www.amazonaws.cn/console/s3

    这会产生一个全局 CloudTrail 日志条目。

  • 您可以通过登录启用区域的主控制台主页来手动请求特定区域登录终端节点。为此,请使用类似于以下示例的 URL:

    https://alias.signin.www.amazonaws.cn/console?region=ap-southeast-1

    然后,AWS 将您重定向到 ap-southeast-1 区域登录终端节点。这会在该区域的日志中产生一个区域 CloudTrail 日志条目。

有关 CloudTrail 和 IAM 的更多信息,请参阅使用 AWS CloudTrail 记录 IAM 事件

如果您账户中的用户需要编程访问,您可以为每个用户创建一个访问密钥对(访问密钥 ID 和秘密访问密钥)。有关更多信息,请参阅管理访问密钥(控制台)