为无法使用 IAM 角色的工作负载创建 IAM 用户
重要
作为最佳实践,我们建议您要求您的人类用户在访问 Amazon 时使用临时凭证。您可以使用身份提供程序来以代入角色的方式,为人类用户提供对 Amazon Web Services 账户 的联合访问权限,这样将提供临时凭证。对于集中式访问权限管理,我们建议使用 Amazon IAM Identity Center(IAM Identity Center)来管理对您账户的访问权限以及这些账户中的其他权限。您可以使用 IAM Identity Center 创建和管理自己的用户身份,包括您的管理用户。如果您使用的是外部身份提供商,则还可以在 IAM Identity Center 中配置用户身份的访问权限。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的什么是 Amazon IAM Identity Center。
如果您的使用案例需要具有编程访问权限和长期凭证的 IAM 用户,我们建议您确立程序以在需要时更新访问密钥。有关更多信息,请参阅 更新访问密钥。
要执行一些账户和服务管理任务,您必须使用根用户凭证登录。要查看需要您以根用户身份登录的任务,请参阅需要根用户凭证的任务。
为无法使用 IAM 角色的工作负载创建 IAM 用户
选择您要遵循以为工作负载创建 IAM 用户的方法的选项卡:
最小权限
要执行下列步骤,您必须至少具有以下 IAM 权限:
-
iam:AddUserToGroup
-
iam:AttachGroupPolicy
-
iam:CreateAccessKey
-
iam:CreateGroup
-
iam:CreateServiceSpecificCredential
-
iam:CreateUser
-
iam:GetAccessKeyLastUsed
-
iam:GetAccountPasswordPolicy
-
iam:GetAccountSummary
-
iam:GetGroup
-
iam:GetLoginProfile
-
iam:GetPolicy
-
iam:GetRole
-
iam:GetUser
-
iam:ListAccessKeys
-
iam:ListAttachedGroupPolicies
-
iam:ListAttachedUserPolicies
-
iam:ListGroupPolicies
-
iam:ListGroups
-
iam:ListGroupsForUser
-
iam:ListInstanceProfilesForRole
-
iam:ListMFADevices
-
iam:ListPolicies
-
iam:ListRoles
-
iam:ListRoleTags
-
iam:ListSSHPublicKeys
-
iam:ListServiceSpecificCredentials
-
iam:ListSigningCertificates
-
iam:ListUserPolicies
-
iam:ListUserTags
-
iam:ListUsers
-
iam:UploadSSHPublicKey
-
iam:UploadSigningCertificate