管理 IAM 用户的密码
通过 Amazon Web Services Management Console 使用 Amazon 资源的 IAM 用户必须具有密码才能登录。您可以创建、更改或删除您的 Amazon 账户中 IAM 用户的密码。
向用户分配密码后,该用户可使用您的账户的登录 URL 登录 Amazon Web Services Management Console,如下所示:
https://
12-digit-Amazon-account-ID or alias
.signin.aws.amazon.com/console
有关 IAM 用户如何登录 Amazon Web Services Management Console 的更多信息,请参阅《Amazon 登录 用户指南》中的如何登录 Amazon。
即使用户有自己的密码,还是需要权限才能访问您的 Amazon 资源。默认情况下,用户没有权限。为授予用户所需的许可,您可向用户或用户所属的群组分配策略。有关创建用户和组的信息,请参阅 IAM 身份 。有关使用策略来设置许可的信息,请参阅 更改 IAM 用户的权限。
可向用户授予相应的权限,用于更改其自身的密码。有关更多信息,请参阅 允许 IAM 用户更改自己的密码。有关用户如何访问账户登录页面的信息,请参阅《Amazon 登录 用户指南》中的如何登录 Amazon。
创建、更改或删除 IAM 用户密码(控制台)
您可以使用 Amazon Web Services Management Console 管理 IAM 用户的密码。
当用户离开您的组织或不再需要访问 Amazon 时,请务必找到用户所使用的凭证并确保这些凭证不再被使用。理想情况下,如果不再需要凭证,可将其删除。您始终可在将来需要这些凭证时创建它们。您至少应更改这些凭证,以便之前的用户不再拥有访问权。
为 IAM 用户添加密码(控制台)
登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择用户。
-
请选择要为其创建密码的用户的名称。
-
选择安全凭证选项卡,然后在控制台登录下选择启用控制台访问权限。
-
在启用控制台访问中,对于控制台密码,选择是让 IAM 生成密码还是创建自定义密码:
-
要让 IAM 生成密码,请选择 Autogenerated password(自动生成的密码)。
-
要创建自定义密码,请选择 Custom password(自定义密码),然后键入密码。
注意
您创建的密码必须符合账户的密码策略。
-
-
若要求用户在登录时创建新密码,请选择用户必须在下次登录时创建新密码。然后选择启用控制台访问。
重要
如果选择用户必须在下次登录时创建新密码选项,请确保用户具有其密码的更改权限。有关更多信息,请参阅 允许 IAM 用户更改自己的密码。
-
要查看密码以便与用户共享它,请在控制台密码对话框中选择显示。
重要
出于安全原因,在完成该步骤后您无法访问该密码,但您可以随时创建新密码。
更改 IAM 用户的密码(控制台)
登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择用户。
-
请选择要更改其密码的用户的名称。
-
选择安全凭证选项卡,然后在控制台登录下选择管理控制台访问权限。
-
在管理控制台访问中,选择重置密码(如果尚未选择)。如果禁用控制台访问,则不需要密码。
-
对于控制台访问,选择是让 IAM 生成密码还是创建自定义密码:
-
要让 IAM 生成密码,请选择 Autogenerated password(自动生成的密码)。
-
要创建自定义密码,请选择 Custom password(自定义密码),然后键入密码。
注意
如果当前设置了账户的密码策略,则您创建的密码必须符合该策略。
-
-
若要求用户在登录时创建新密码,请选择用户必须在下次登录时创建新密码。
重要
如果选择用户必须在下次登录时创建新密码选项,请确保用户具有其密码的更改权限。有关更多信息,请参阅 允许 IAM 用户更改自己的密码。
-
要撤销用户的活动控制台会话,请选择撤销活动的主机会话。然后选择 Apply(应用)。
在您撤销用户的活动控制台会话时,IAM 会向用户附加一个新的内联策略来拒绝对所有操作的所有权限。它包括一个条件,即只有当会话是在您撤销权限的时间点之前以及大约 30 秒后创建的时才应用限制。如果用户在您撤销权限之后创建了一个新会话,则拒绝策略不适用于该用户。如果用户使用此方法撤销自己的活动控制台会话,则他们将立即从 Amazon Web Services Management Console 中注销。
重要
要成功撤销用户的活动控制台会话,您必须对该用户具有
PutUserPolicy
权限。这允许您将AWSRevokeOlderSessions
内联策略附加到该用户。 -
要查看密码以便与用户共享它,请在控制台密码对话框中选择显示。
重要
出于安全原因,在完成该步骤后您无法访问该密码,但您可以随时创建新密码。
删除(禁用)IAM 用户的密码(控制台)
登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择用户。
-
请选择要删除其密码的用户的名称。
-
选择安全凭证选项卡,然后在控制台登录下选择管理控制台访问权限。
-
在管理控制台访问中,选择禁用控制台访问(如果尚未选择)。如果禁用控制台访问,则不需要密码。
-
要撤销用户的活动控制台会话,请选择撤销活动的主机会话。然后选择禁用访问。
重要
要成功撤销用户的活动控制台会话,您必须对该用户具有
PutUserPolicy
权限。这允许您将AWSRevokeOlderSessions
内联策略附加到该用户。在撤销用户的活动控制台会话时,IAM 会在 IAM 用户中嵌入一个新的内联策略来拒绝对所有操作的所有权限。它包括一个条件,即只有当会话是在您撤销权限的时间点之前以及大约 30 秒后创建的时才应用限制。如果用户在您撤销权限之后创建了一个新会话,则拒绝策略不适用于该用户。如果用户使用此方法撤销自己的活动控制台会话,则他们将立即从 Amazon Web Services Management Console 中注销。
重要
您可以通过删除 IAM 用户的密码来阻止其访问 Amazon Web Services Management Console。这样可以阻止他们使用其登录凭证登录 Amazon Web Services Management Console。这不会更改他们的权限,也不会阻止他们使用担任的角色访问控制台。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell、Amazon API,或 Amazon Console Mobile Application 进行访问。
创建、更改或删除 IAM 用户密码 (Amazon CLI)
您可以使用 Amazon CLI API 管理 IAM 用户的密码。
创建密码 (Amazon CLI)
-
(可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile
-
要创建密码,请运行此命令:aws iam create-login-profile
更改用户的密码 (Amazon CLI)
-
(可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile
-
要更改密码,请运行此命令:aws iam update-login-profile
删除(禁用)用户的密码 (Amazon CLI)
-
(可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile
-
(可选)要确定上次使用密码的时间,请运行此命令:aws iam get-user
-
要删除密码,请运行此命令:aws iam delete-login-profile
重要
在删除用户的密码后,用户无法再登录到 Amazon Web Services Management Console。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 函数调用进行访问。在使用 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 从您的 Amazon Web Services 账户 中删除用户时,您必须先使用此操作删除密码。有关更多信息,请参阅 删除 IAM 用户 (Amazon CLI)。
在指定时间之前撤销用户的活动控制台会话 (Amazon CLI)
-
要嵌入在指定时间之前撤销 IAM 用户的活动控制台会话的内联策略,请使用以下内联策略并运行此命令:aws iam put-user-policy
此内联策略拒绝所有权限并包含
aws:TokenIssueTime
条件键。它会在内联策略的Condition
元素中的指定时间之前撤销用户的活动控制台会话。将aws:TokenIssueTime
条件键值替换为您自己的值。{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "
2014-05-07T23:47:00Z
" } } } } -
(可选)要列出 IAM 用户中嵌入的内联策略的名称,请运行此命令:aws iam list-user-policies
-
(可选)要查看 IAM 用户中嵌入的命名内联策略,请运行此命令:aws iam get-user-policy
创建、更改或删除 IAM 用户密码 (Amazon API)
您可以使用 Amazon API 管理 IAM 用户的密码。
创建密码 (Amazon API)
-
(可选)要确定用户是否有密码,请调用此操作:GetLoginProfile
-
要创建密码,请调用此操作:CreateLoginProfile
更改用户的密码 (Amazon API)
-
(可选)要确定用户是否有密码,请调用此操作:GetLoginProfile
-
要更改密码,请调用此操作:UpdateLoginProfile
删除(禁用)用户的密码 (Amazon API)
-
(可选)要确定用户是否有密码,请运行此命令:GetLoginProfile
-
(可选)要确定上次使用密码的时间,请运行此命令:GetUser
-
要删除密码,请运行此命令:DeleteLoginProfile
重要
在删除用户的密码后,用户无法再登录到 Amazon Web Services Management Console。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 函数调用进行访问。在使用 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 从您的 Amazon Web Services 账户 中删除用户时,您必须先使用此操作删除密码。有关更多信息,请参阅 删除 IAM 用户 (Amazon CLI)。
在指定时间之前撤销用户的活动控制台会话 (Amazon API)
-
要嵌入在指定时间之前撤销 IAM 用户的活动控制台会话的内联策略,请使用以下内联策略并运行此命令:PutUserPolicy
此内联策略拒绝所有权限并包含
aws:TokenIssueTime
条件键。它会在内联策略的Condition
元素中的指定时间之前撤销用户的活动控制台会话。将aws:TokenIssueTime
条件键值替换为您自己的值。{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "
2014-05-07T23:47:00Z
" } } } } -
(可选)要列出 IAM 用户中嵌入的内联策略的名称,请运行此命令:ListUserPolicies
-
(可选)要查看 IAM 用户中嵌入的命名内联策略,请运行此命令:GetUserPolicy