AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

管理 IAM 用户的密码

使用 AWS 管理控制台以使用 AWS 资源的 IAM 用户必须具有密码才能登录。您可以创建、更改或删除您的 AWS 账户中 IAM 用户的密码。

向用户分配密码后,该用户可使用您的账户的登录 URL 登录 AWS 管理控制台,如下所示:

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

有关 IAM 用户如何登录 AWS 管理控制台的更多信息,请参阅IAM 控制台和登录页面

除了为 IAM 用户手动创建单独密码之外,还可以创建应用于您 AWS 账户中所有 IAM 用户密码的密码策略。

您可以使用密码策略执行这些操作:

  • 设置最短密码长度。

  • 要求特定字符类型,包括大写字母、小写字母、数字和非字母数字字符。请务必提醒用户,密码区分大小写。

  • 允许所有 IAM 用户更改自己的密码。

    注意

    如果您允许您的 IAM 用户更改其密码,IAM 自动允许他们查看密码策略。IAM 用户需要查看账户密码策略的权限,才能创建符合策略的密码。

  • 要求 IAM 用户在指定的时段后更改其密码(启用密码过期)。

  • 防止 IAM 用户重新使用以前的密码。

  • 在 IAM 用户允许其密码过期后强制该用户与账户管理员联系。

有关管理您账户的密码策略的信息,请参阅 为 IAM 用户设置账户密码策略

即使用户有自己的密码,还是需要权限才能访问您的 AWS 资源。默认情况下,用户没有权限。为授予用户所需的许可,您可向用户或用户所属的群组分配策略。有关创建用户和群组的信息,请参阅 身份 (用户、组和角色)。有关使用策略来设置许可的信息,请参阅 更改 IAM 用户的权限

可向用户授予相应的权限,用于更改其自身的密码。有关更多信息,请参阅 允许 IAM 用户更改自己的密码。有关用户如何访问账户登录页面的信息,请参阅 IAM 控制台和登录页面

创建、更改或删除 IAM 用户密码 (控制台)

您可以使用 AWS 管理控制台管理 IAM 用户的密码。

当用户离开您的组织或不再需要访问 AWS 时,请务必找到用户所使用的凭证并确保这些凭证不再被使用。理想情况下,如果不再需要凭证,可将其删除。您始终可在将来需要这些凭证时创建它们。您至少应更改这些凭证,以便之前的用户不再拥有访问权。

为 IAM 用户添加密码(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择要为其创建密码的用户的名称。

  4. 选择 Security Credentials 选项卡,然后在 Sign-in Credentials 下选择 Console password 旁的 Manage password

  5. Manage console access 中,对于 Console access,选中 Enable (如果尚未选中)。如果禁用控制台访问,则无需密码。

  6. 对于 Set password,选择是让 IAM 生成密码还是创建自定义密码:

    • 要让 IAM 生成密码,请选择 Autogenerated password

    • 要创建自定义密码,请选择 Custom password,然后键入密码。

      注意

      如果当前设置了账户的密码策略,则您创建的密码必须符合该策略。

  7. 若要求用户在登录时创建新密码,请选择 Require password reset。然后选择 Apply

    重要

    如果选择 Require password reset 选项,请确保用户具有密码更改权限。有关更多信息,请参阅 允许 IAM 用户更改自己的密码

  8. 如果选择此选项来生成密码,请在 New password (新密码) 对话框中选择 Show (显示)。这使您能够查看密码,以便与用户进行共享。

    重要

    出于安全原因,在完成此步骤后您无法访问该密码,但您可以随时创建新密码。

更改 IAM 用户的密码(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择要更改其密码的用户的名称。

  4. 选择 Security Credentials 选项卡,然后在 Sign-in Credentials 下选择 Console password 旁的 Manage password

  5. Manage console access 中,对于 Console access,选中 Enable (如果尚未选中)。如果禁用控制台访问,则无需密码。

  6. 对于 Set password,选择是让 IAM 生成密码还是创建自定义密码:

    • 要让 IAM 生成密码,请选择 Autogenerated password

    • 要创建自定义密码,请选择 Custom password,然后键入密码。

      注意

      如果当前设置了账户的密码策略,则您创建的密码必须符合该策略。

  7. 若要求用户在登录时创建新密码,请选择 Require password reset。然后选择 Apply

    重要

    如果选择 Require password reset 选项,请确保用户具有密码更改权限。有关更多信息,请参阅 允许 IAM 用户更改自己的密码

  8. 如果选择此选项来生成密码,请在 New password (新密码) 对话框中选择 Show (显示)。这使您能够查看密码,以便与用户进行共享。

    重要

    出于安全原因,在完成此步骤后您无法访问该密码,但您可以随时创建新密码。

删除(禁用)IAM 用户的密码(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择要删除其密码的用户的名称。

  4. 选择 Security Credentials 选项卡,然后在 Sign-in Credentials 下选择 Console password 旁的 Manage password

  5. 对于 Console access,选择 Disable,然后选择 Apply

重要

在删除用户的密码后,用户无法再登录到 AWS 管理控制台。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 AWS CLI、Windows PowerShell 工具 或 AWS API 函数调用进行访问。

创建、更改或删除 IAM 用户的密码 (AWS CLI)

您可以使用 AWS CLI API 管理 IAM 用户的密码。

创建密码 (AWS CLI)

  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. 要创建密码,请运行此命令:aws iam create-login-profile

更改用户的密码 (AWS CLI)

  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. 要更改密码,请运行此命令:aws iam update-login-profile

删除(禁用)用户的密码 (AWS CLI)

  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. (可选)要确定上次使用密码的时间,请运行此命令:aws iam get-user

  3. 要删除密码,请运行此命令:aws iam delete-login-profile

重要

在删除用户的密码后,用户无法再登录到 AWS 管理控制台。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 AWS CLI、Windows PowerShell 工具 或 AWS API 函数调用进行访问。在使用 AWS CLI、Windows PowerShell 工具 或 AWS API 从您的 AWS 账户中删除用户时,您必须先使用该操作删除密码。有关更多信息,请参阅 删除 IAM 用户 (AWS CLI)

创建、更改或删除 IAM 用户的密码 (AWS API)

您可以使用 AWS API 管理 IAM 用户的密码。

创建密码 (AWS API)

  1. (可选)要确定用户是否有密码,请调用此操作:GetLoginProfile

  2. 要创建密码,请调用此操作:CreateLoginProfile

更改用户的密码 (AWS API)

  1. (可选)要确定用户是否有密码,请调用此操作:GetLoginProfile

  2. 要更改密码,请调用此操作:UpdateLoginProfile

删除(禁用)用户的密码 (AWS API)

  1. (可选)要确定用户是否有密码,请运行此命令:GetLoginProfile

  2. (可选)要确定上次使用密码的时间,请运行此命令:GetUser

  3. 要删除密码,请运行此命令:DeleteLoginProfile

重要

在删除用户的密码后,用户无法再登录到 AWS 管理控制台。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 AWS CLI、Windows PowerShell 工具 或 AWS API 函数调用进行访问。在使用 AWS CLI、Windows PowerShell 工具 或 AWS API 从您的 AWS 账户中删除用户时,您必须先使用该操作删除密码。有关更多信息,请参阅 删除 IAM 用户 (AWS CLI)