管理 IAM 用户的密码 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

管理 IAM 用户的密码

通过 Amazon Web Services Management Console 使用 Amazon 资源的 IAM 用户必须具有密码才能登录。您可以创建、更改或删除您的 Amazon 账户中 IAM 用户的密码。

向用户分配密码后,该用户可使用您的账户的登录 URL 登录 Amazon Web Services Management Console,如下所示:

https://12-digit-Amazon-account-ID or alias.signin.aws.amazon.com/console

有关 IAM 用户如何登录 Amazon Web Services Management Console 的更多信息,请参阅《Amazon 登录 用户指南》中的如何登录 Amazon

即使用户有自己的密码,还是需要权限才能访问您的 Amazon 资源。默认情况下,用户没有权限。为授予用户所需的许可,您可向用户或用户所属的群组分配策略。有关创建用户和组的信息,请参阅 IAM 身份(用户、用户组和角色)。有关使用策略来设置许可的信息,请参阅 更改 IAM 用户的权限

可向用户授予相应的权限,用于更改其自身的密码。有关更多信息,请参阅 允许 IAM 用户更改自己的密码。有关用户如何访问账户登录页面的信息,请参阅《Amazon 登录 用户指南》中的如何登录 Amazon

创建、更改或删除 IAM 用户密码(控制台)

您可以使用 Amazon Web Services Management Console 管理 IAM 用户的密码。

当用户离开您的组织或不再需要访问 Amazon 时,请务必找到用户所使用的凭证并确保这些凭证不再被使用。理想情况下,如果不再需要凭证,可将其删除。您始终可在将来需要这些凭证时创建它们。您至少应更改这些凭证,以便之前的用户不再拥有访问权。

为 IAM 用户添加密码(控制台)
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择用户

  3. 请选择要为其创建密码的用户的名称。

  4. 选择安全凭证选项卡,然后在控制台登录下选择启用控制台访问权限

  5. 启用控制台访问中,对于控制台密码,选择是让 IAM 生成密码还是创建自定义密码:

    • 要让 IAM 生成密码,请选择 Autogenerated password(自动生成的密码)。

    • 要创建自定义密码,请选择 Custom password(自定义密码),然后键入密码。

      注意

      您创建的密码必须符合账户的密码策略

  6. 若要求用户在登录时创建新密码,请选择用户必须在下次登录时创建新密码。然后选择启用控制台访问

    重要

    如果选择用户必须在下次登录时创建新密码选项,请确保用户具有其密码的更改权限。有关更多信息,请参阅 允许 IAM 用户更改自己的密码

  7. 要查看密码以便与用户共享它,请在控制台密码对话框中选择显示

    重要

    出于安全原因,在完成该步骤后您无法访问该密码,但您可以随时创建新密码。

更改 IAM 用户的密码(控制台)
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择用户

  3. 请选择要更改其密码的用户的名称。

  4. 选择安全凭证选项卡,然后在控制台登录下选择管理控制台访问权限

  5. 管理控制台访问中,选择重置密码(如果尚未选择)。如果禁用控制台访问,则不需要密码。

  6. 对于控制台访问,选择是让 IAM 生成密码还是创建自定义密码:

    • 要让 IAM 生成密码,请选择 Autogenerated password(自动生成的密码)。

    • 要创建自定义密码,请选择 Custom password(自定义密码),然后键入密码。

      注意

      如果当前设置了账户的密码策略,则您创建的密码必须符合该策略。

  7. 若要求用户在登录时创建新密码,请选择用户必须在下次登录时创建新密码

    重要

    如果选择用户必须在下次登录时创建新密码选项,请确保用户具有其密码的更改权限。有关更多信息,请参阅 允许 IAM 用户更改自己的密码

  8. 要撤销用户的活动控制台会话,请选择撤销活动的主机会话。然后选择 Apply(应用)。

    在您撤销用户的活动控制台会话时,IAM 会向用户附加一个新的内联策略来拒绝对所有操作的所有权限。它包括一个条件,即只有当会话是在您撤销权限的时间点之前以及大约 30 秒后创建的时才应用限制。如果用户在您撤销权限之后创建了一个新会话,则拒绝策略不适用于该用户。如果用户使用此方法撤销自己的活动控制台会话,则他们将立即从 Amazon Web Services Management Console 中注销。

    重要

    要成功撤销用户的活动控制台会话,您必须对该用户具有 PutUserPolicy 权限。这允许您将 AWSRevokeOlderSessions 内联策略附加到该用户。

  9. 要查看密码以便与用户共享它,请在控制台密码对话框中选择显示

    重要

    出于安全原因,在完成该步骤后您无法访问该密码,但您可以随时创建新密码。

删除(禁用)IAM 用户的密码(控制台)
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择用户

  3. 请选择要删除其密码的用户的名称。

  4. 选择安全凭证选项卡,然后在控制台登录下选择管理控制台访问权限

  5. 管理控制台访问中,选择禁用控制台访问(如果尚未选择)。如果禁用控制台访问,则不需要密码。

  6. 要撤销用户的活动控制台会话,请选择撤销活动的主机会话。然后选择禁用访问

    重要

    要成功撤销用户的活动控制台会话,您必须对该用户具有 PutUserPolicy 权限。这允许您将 AWSRevokeOlderSessions 内联策略附加到该用户。

    在撤销用户的活动控制台会话时,IAM 会在 IAM 用户中嵌入一个新的内联策略来拒绝对所有操作的所有权限。它包括一个条件,即只有当会话是在您撤销权限的时间点之前以及大约 30 秒后创建的时才应用限制。如果用户在您撤销权限之后创建了一个新会话,则拒绝策略不适用于该用户。如果用户使用此方法撤销自己的活动控制台会话,则他们将立即从 Amazon Web Services Management Console 中注销。

重要

您可以通过删除 IAM 用户的密码来阻止其访问 Amazon Web Services Management Console。这样可以阻止他们使用其登录凭证登录 Amazon Web Services Management Console。这不会更改他们的权限,也不会阻止他们使用担任的角色访问控制台。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell、Amazon API,或 Amazon Console Mobile Application 进行访问。

创建、更改或删除 IAM 用户密码 (Amazon CLI)

您可以使用 Amazon CLI API 管理 IAM 用户的密码。

创建密码 (Amazon CLI)
  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. 要创建密码,请运行此命令:aws iam create-login-profile

更改用户的密码 (Amazon CLI)
  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. 要更改密码,请运行此命令:aws iam update-login-profile

删除(禁用)用户的密码 (Amazon CLI)
  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. (可选)要确定上次使用密码的时间,请运行此命令:aws iam get-user

  3. 要删除密码,请运行此命令:aws iam delete-login-profile

重要

在删除用户的密码后,用户无法再登录到 Amazon Web Services Management Console。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 函数调用进行访问。在使用 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 从您的 Amazon Web Services 账户 中删除用户时,您必须先使用此操作删除密码。有关更多信息,请参阅 删除 IAM 用户 (Amazon CLI)

在指定时间之前撤销用户的活动控制台会话 (Amazon CLI)
  1. 要嵌入在指定时间之前撤销 IAM 用户的活动控制台会话的内联策略,请使用以下内联策略并运行此命令:aws iam put-user-policy

    此内联策略拒绝所有权限并包含 aws:TokenIssueTime 条件键。它会在内联策略的 Condition 元素中的指定时间之前撤销用户的活动控制台会话。将 aws:TokenIssueTime 条件键值替换为您自己的值。

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (可选)要列出 IAM 用户中嵌入的内联策略的名称,请运行此命令:aws iam list-user-policies

  3. (可选)要查看 IAM 用户中嵌入的命名内联策略,请运行此命令:aws iam get-user-policy

创建、更改或删除 IAM 用户密码 (Amazon API)

您可以使用 Amazon API 管理 IAM 用户的密码。

创建密码 (Amazon API)
  1. (可选)要确定用户是否有密码,请调用此操作:GetLoginProfile

  2. 要创建密码,请调用此操作:CreateLoginProfile

更改用户的密码 (Amazon API)
  1. (可选)要确定用户是否有密码,请调用此操作:GetLoginProfile

  2. 要更改密码,请调用此操作:UpdateLoginProfile

删除(禁用)用户的密码 (Amazon API)
  1. (可选)要确定用户是否有密码,请运行此命令:GetLoginProfile

  2. (可选)要确定上次使用密码的时间,请运行此命令:GetUser

  3. 要删除密码,请运行此命令:DeleteLoginProfile

重要

在删除用户的密码后,用户无法再登录到 Amazon Web Services Management Console。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 函数调用进行访问。在使用 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 从您的 Amazon Web Services 账户 中删除用户时,您必须先使用此操作删除密码。有关更多信息,请参阅 删除 IAM 用户 (Amazon CLI)

在指定时间之前撤销用户的活动控制台会话 (Amazon API)
  1. 要嵌入在指定时间之前撤销 IAM 用户的活动控制台会话的内联策略,请使用以下内联策略并运行此命令:PutUserPolicy

    此内联策略拒绝所有权限并包含 aws:TokenIssueTime 条件键。它会在内联策略的 Condition 元素中的指定时间之前撤销用户的活动控制台会话。将 aws:TokenIssueTime 条件键值替换为您自己的值。

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (可选)要列出 IAM 用户中嵌入的内联策略的名称,请运行此命令:ListUserPolicies

  3. (可选)要查看 IAM 用户中嵌入的命名内联策略,请运行此命令:GetUserPolicy