AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

用户如何登录您的账户

在您创建 IAM 用户(带有密码)后,这些用户可使用您的账户 ID 或别名登录到 AWS 管理控制台,或从一个包含您的账户 ID 的自定义 URL 进行登录。

注意

如果贵公司现在有一个身份系统,您可能需要创建单一登录 (SSO) 选项。SSO 向用户提供对 AWS 管理控制台 的访问权限,而不要求他们具有 IAM 用户身份。SSO 也无需用户单独登录您的组织的网站和 AWS。有关更多信息,请参阅 创建一个使联合用户能够访问 AWS 管理控制台(自定义联合代理)的 URL

在为您的账户创建登录 URL 前,您可以创建账户别名,使得 URL 包含您的账户名称而不是账户 ID。有关更多信息,请参阅 AWS 账户 ID 及其别名

您可以在 IAM 控制台控制面板中找到账户的登录 URL。


      IAM 控制面板、登录 URL

要为您的 IAM 用户创建登录 URL,请使用以下模式:

https://account-ID-or-alias.signin.www.amazonaws.cn/console

IAM 用户还可以在以下终端节点登录并手动输入账户 ID 或别名,而不是使用您的自定义 URL:

https://signin.www.amazonaws.cn/console

控制台活动所需的权限

您的账户中的 IAM 用户仅能访问您在附加到用户或用户所属的 IAM 组的策略中指定的 AWS 资源。要在控制台开展工作,用户必须有权限执行控制台执行的操作(例如列出和创建 AWS 资源)。有关更多信息,请参阅访问控制示例策略

在 CloudTrail 中记录登录详细信息

如果您允许 CloudTrail 将登录事件记录到您的日志中,您需要了解 CloudTrail 如何选择在何处记录事件。

  • 如果您的用户直接登录到控制台,则系统会根据所选服务控制台是否支持区域,将他们重定向到全局或区域登录终端节点。例如,主控制台主页支持区域,因此,如果您登录以下 URL:

    https://alias.signin.aws.amazon.com/console

    您会被重定向到“默认”区域登录终端节点 https://us-east-1.signin.aws.amazon.com,从而导致该区域日志中产生一个区域 CloudTrail 日志条目:

    另一方面,Amazon S3 控制台不支持区域,因此,如果您登录到以下 URL

    https://alias.signin.aws.amazon.com/console/s3

    AWS 会将您重定向到全局登录终端节点 https://signin.aws.amazon.com,从而产生一个全局 CloudTrail 日志条目。

  • 您可以通过使用类似如下的 URL 语法登录到启用区域的主控制台主页,来手动请求特定区域网站终端节点:

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS 将您重定向到 ap-southeast-1 区域登录终端节点并使该区域中产生一个 CloudTrail 日志事件。

有关 CloudTrail 和 IAM 的更多信息,请参阅使用 AWS CloudTrail 记录 IAM 事件

管理访问密钥(控制台)中所述,如果用户需要编程访问来使用您的账户,则可以为所有用户创建访问密钥对(访问密钥 ID 和私有密钥)。