管理 IAM 用户的密码 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

管理 IAM 用户的密码

通过 Amazon Web Services Management Console 使用 Amazon 资源的 IAM 用户必须具有密码才能登录。您可以创建、更改或删除您的 Amazon 账户中 IAM 用户的密码。

向用户分配密码后,该用户可使用您的账户的登录 URL 登录 Amazon Web Services Management Console,如下所示:

https://12-digit-Amazon-account-ID or alias.signin.aws.amazon.com/console

有关 IAM 用户如何登录 Amazon Web Services Management Console 的更多信息,请参阅《Amazon 登录 用户指南》中的如何登录 Amazon

即使用户有自己的密码,还是需要权限才能访问您的 Amazon 资源。默认情况下,用户没有权限。为授予用户所需的许可,您可向用户或用户所属的群组分配策略。有关创建用户和组的信息,请参阅 IAM 身份(用户、用户组和角色)。有关使用策略来设置许可的信息,请参阅 更改 IAM 用户的权限

可向用户授予相应的权限,用于更改其自身的密码。有关更多信息,请参阅允许 IAM 用户更改自己的密码。有关用户如何访问账户登录页面的信息,请参阅《Amazon 登录 用户指南》中的如何登录 Amazon

创建、更改或删除 IAM 用户密码(控制台)

您可以使用 Amazon Web Services Management Console 管理 IAM 用户的密码。

当用户离开您的组织或不再需要访问 Amazon 时,请务必找到用户所使用的凭证并确保这些凭证不再被使用。理想情况下,如果不再需要凭证,可将其删除。您始终可在将来需要这些凭证时创建它们。您至少应更改这些凭证,以便之前的用户不再拥有访问权。

为 IAM 用户添加密码(控制台)
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 请选择要为其创建密码的用户的名称。

  4. 选择安全凭证选项卡,然后在控制台登录下选择启用控制台访问权限

  5. Manage console access(管理控制台访问)中,对于 Console access(控制台访问),选中 Enable(启用) (如果尚未选中)。如果禁用控制台访问,则无需密码。

  6. 对于 Set password (设置密码),选择是让 IAM 生成密码还是创建自定义密码:

    • 要让 IAM 生成密码,请选择 Autogenerated password(自动生成的密码)。

    • 要创建自定义密码,请选择 Custom password(自定义密码),然后键入密码。

      注意

      您创建的密码必须符合账户的密码策略

  7. 若要求用户在登录时创建新密码,请选择用户必须在下次登录时创建新密码。然后选择 Apply(应用)。

    重要

    如果选择用户必须在下次登录时创建新密码选项,请确保用户具有其密码的更改权限。有关更多信息,请参阅允许 IAM 用户更改自己的密码

  8. 如果选择该选项来生成密码,请在控制台密码对话框中选择显示。这使您能够查看密码,以便与用户进行共享。

    重要

    出于安全原因,在完成该步骤后您无法访问该密码,但您可以随时创建新密码。

更改 IAM 用户的密码(控制台)
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 请选择要更改其密码的用户的名称。

  4. 选择安全凭证选项卡,然后在控制台登录下选择管理控制台访问权限

  5. Manage console access(管理控制台访问)中,对于 Console access(控制台访问),选中 Enable(启用) (如果尚未选中)。如果禁用控制台访问,则无需密码。

  6. 对于 Set password (设置密码),选择是让 IAM 生成密码还是创建自定义密码:

    • 要让 IAM 生成密码,请选择 Autogenerated password(自动生成的密码)。

    • 要创建自定义密码,请选择 Custom password(自定义密码),然后键入密码。

      注意

      如果当前设置了账户的密码策略,则您创建的密码必须符合该策略。

  7. 若要求用户在登录时创建新密码,请选择用户必须在下次登录时创建新密码。然后选择 Apply(应用)。

    重要

    如果选择用户必须在下次登录时创建新密码选项,请确保用户具有其密码的更改权限。有关更多信息,请参阅允许 IAM 用户更改自己的密码

  8. 如果选择该选项来生成密码,请在控制台密码对话框中选择显示。这使您能够查看密码,以便与用户进行共享。

    重要

    出于安全原因,在完成该步骤后您无法访问该密码,但您可以随时创建新密码。

删除(禁用)IAM 用户的密码(控制台)
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 请选择要删除其密码的用户的名称。

  4. 选择安全凭证选项卡,然后在控制台登录下选择管理控制台访问权限

  5. 对于 Console access,选择 Disable,然后选择 Apply

重要

您可以通过删除 IAM 用户的密码来阻止其访问 Amazon Web Services Management Console。这样可以阻止他们使用其登录凭证登录 Amazon Web Services Management Console。这不会更改他们的权限,也不会阻止他们使用担任的角色访问控制台。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell、Amazon API,或 Amazon Console Mobile Application 进行访问。

创建、更改或删除 IAM 用户密码 (Amazon CLI)

您可以使用 Amazon CLI API 管理 IAM 用户的密码。

创建密码 (Amazon CLI)
  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. 要创建密码,请运行此命令:aws iam create-login-profile

更改用户的密码 (Amazon CLI)
  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. 要更改密码,请运行此命令:aws iam update-login-profile

删除(禁用)用户的密码 (Amazon CLI)
  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. (可选)要确定上次使用密码的时间,请运行此命令:aws iam get-user

  3. 要删除密码,请运行此命令:aws iam delete-login-profile

重要

在删除用户的密码后,用户无法再登录到 Amazon Web Services Management Console。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 函数调用进行访问。在使用 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 从您的 Amazon Web Services 账户 中删除用户时,您必须先使用此操作删除密码。有关更多信息,请参阅删除 IAM 用户 (Amazon CLI)

创建、更改或删除 IAM 用户密码 (Amazon API)

您可以使用 Amazon API 管理 IAM 用户的密码。

创建密码 (Amazon API)
  1. (可选)要确定用户是否有密码,请调用此操作:GetLoginProfile

  2. 要创建密码,请调用此操作:CreateLoginProfile

更改用户的密码 (Amazon API)
  1. (可选)要确定用户是否有密码,请调用此操作:GetLoginProfile

  2. 要更改密码,请调用此操作:UpdateLoginProfile

删除(禁用)用户的密码 (Amazon API)
  1. (可选)要确定用户是否有密码,请运行此命令:GetLoginProfile

  2. (可选)要确定上次使用密码的时间,请运行此命令:GetUser

  3. 要删除密码,请运行此命令:DeleteLoginProfile

重要

在删除用户的密码后,用户无法再登录到 Amazon Web Services Management Console。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 函数调用进行访问。在使用 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 从您的 Amazon Web Services 账户 中删除用户时,您必须先使用此操作删除密码。有关更多信息,请参阅删除 IAM 用户 (Amazon CLI)