管理 IAM 用户的密码 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

管理 IAM 用户的密码

通过 Amazon Web Services Management Console 使用 Amazon 资源的 IAM 用户必须具有密码才能登录。您可以创建、更改或删除您的 Amazon 账户中 IAM 用户的密码。

向用户分配密码后,该用户可使用您的账户的登录 URL 登录 Amazon Web Services Management Console,如下所示:

https://12-digit-Amazon-account-ID or alias.signin.aws.amazon.com/console

有关 IAM 用户如何登录 Amazon Web Services Management Console 的更多信息,请参阅《Amazon 登录 用户指南》中的如何登录 Amazon

即使用户有自己的密码,还是需要权限才能访问您的 Amazon 资源。默认情况下,用户没有权限。为授予用户所需的许可,您可向用户或用户所属的群组分配策略。有关创建用户和组的信息,请参阅 IAM 身份 。有关使用策略来设置许可的信息,请参阅 更改 IAM 用户的权限

可向用户授予相应的权限,用于更改其自身的密码。有关更多信息,请参阅 允许 IAM 用户更改自己的密码。有关用户如何访问账户登录页面的信息,请参阅《Amazon 登录 用户指南》中的如何登录 Amazon

创建、更改或删除 IAM 用户密码(控制台)

您可以使用 Amazon Web Services Management Console 管理 IAM 用户的密码。

用户的访问需求可能会随着时间而变化。您可能需要让原本拥有 CLI 访问权限的用户开始访问控制台,因为用户收到了包含其凭证的电子邮件而更改其密码,或者在用户离开您的组织或不再需要 Amazon 访问权限时删除其密码。

要创建 IAM 用户密码(控制台)

使用此步骤创建与用户名相关联的密码,为用户提供控制台访问权限。

IAM console
  1. 按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。

  2. Console Home(控制台主页)页面,选择 IAM 服务。

  3. 在导航窗格中,选择 Users(用户)。

  4. 请选择要为其创建密码的用户的名称。

  5. 选择 Security credentials(安全凭证)选项卡,然后在 Console sign-in(控制台登录)下选择 Enable console access(启用控制台访问权限)。

  6. Enable console access(启用控制台访问权限)对话框中,选择 Reset password(重置密码),然后选择是让 IAM 生成密码还是创建自定义密码:

    • 要让 IAM 生成密码,请选择 Autogenerated password(自动生成的密码)。

    • 要创建自定义密码,请选择 Custom password(自定义密码),然后键入密码。

      注意

      您创建的密码必须符合账户的密码策略

  7. 若要求用户在登录时创建新密码,请选择 Require password change at the next sign-in(必须在下次登录时更改密码)。

  8. 若要求用户立即使用新密码,请选择 Revoke active console sessions(撤消活动控制台会话)。这会向 IAM 用户附加一个内联策略,如果用户的凭证超过了策略指定的时间,则该策略就会拒绝用户访问资源。

  9. 选择 Reset password(重置密码)。

  10. Console password(控制台密码)对话框通知您已启用用户的新密码。要查看密码以便与用户共享它,请在 Console password(控制台密码)对话框中选择 Show(显示)。选择 Download .csv file(下载 .csv 文件),下载包含用户凭证的文件。

    重要

    出于安全原因,在完成该步骤后您无法访问该密码,但您可以随时创建新密码。

控制台会显示一条状态消息,通知您控制台访问权限已启用。

要更改 IAM 用户的密码(控制台)

使用此步骤更新与用户名关联的密码。

IAM console
  1. 按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。

  2. Console Home(控制台主页)页面,选择 IAM 服务。

  3. 在导航窗格中,选择 Users(用户)。

  4. 请选择要更改其密码的用户的名称。

  5. 选择 Security credentials(安全凭证)选项卡,然后在 Console sign-in(控制台登录)下选择 Manage console access(管理控制台访问权限)。

  6. Manage console access(管理控制台访问权限)对话框中,选择 Reset password(重置密码),然后选择是让 IAM 生成密码还是创建自定义密码:

    • 要让 IAM 生成密码,请选择 Autogenerated password(自动生成的密码)。

    • 要创建自定义密码,请选择 Custom password(自定义密码),然后键入密码。

      注意

      您创建的密码必须符合账户的密码策略

  7. 若要求用户在登录时创建新密码,请选择 Require password change at the next sign-in(必须在下次登录时更改密码)。

  8. 若要求用户立即使用新密码,请选择 Revoke active console sessions(撤消活动控制台会话)。这会向 IAM 用户附加一个内联策略,如果用户的凭证超过了策略指定的时间,则该策略就会拒绝用户访问资源。

  9. 选择 Reset password(重置密码)。

  10. Console password(控制台密码)对话框通知您已启用用户的新密码。要查看密码以便与用户共享它,请在 Console password(控制台密码)对话框中选择 Show(显示)。选择 Download .csv file(下载 .csv 文件),下载包含用户凭证的文件。

    重要

    出于安全原因,在完成该步骤后您无法访问该密码,但您可以随时创建新密码。

控制台会显示一条状态消息,通知您控制台访问权限已更新。

要删除(禁用)IAM 用户的密码(控制台)

使用此步骤删除与用户名关联的密码,从而取消用户的控制台访问权限。

重要

您可以通过删除 IAM 用户的密码来阻止其访问 Amazon Web Services Management Console。这样可以阻止他们使用其登录凭证登录 Amazon Web Services Management Console。这不会更改他们的权限,也不会阻止他们使用担任的角色访问控制台。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell、Amazon API,或 Amazon Console Mobile Application 进行访问。

IAM console
  1. 按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。

  2. Console Home(控制台主页)页面,选择 IAM 服务。

  3. 在导航窗格中,选择 Users(用户)。

  4. 请选择要删除其密码的用户的名称。

  5. 选择安全凭证选项卡,然后在控制台登录下选择管理控制台访问权限

  6. 若要求用户立即停止使用控制台,请选择 Revoke active console sessions(撤消活动控制台会话)。这会向 IAM 用户附加一个内联策略,如果用户的凭证超过了策略指定的时间,则该策略就会拒绝用户访问资源。

  7. 然后选择 Disable access(禁用访问)。

控制台会显示一条状态消息,通知您控制台访问已禁用。

创建、更改或删除 IAM 用户密码 (Amazon CLI)

您可以使用 Amazon CLI API 管理 IAM 用户的密码。

创建密码 (Amazon CLI)
  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. 要创建密码,请运行此命令:aws iam create-login-profile

更改用户的密码 (Amazon CLI)
  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. 要更改密码,请运行此命令:aws iam update-login-profile

删除(禁用)用户的密码 (Amazon CLI)
  1. (可选)要确定用户是否有密码,请运行此命令:aws iam get-login-profile

  2. (可选)要确定上次使用密码的时间,请运行此命令:aws iam get-user

  3. 要删除密码,请运行此命令:aws iam delete-login-profile

重要

在删除用户的密码后,用户无法再登录到 Amazon Web Services Management Console。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 函数调用进行访问。在使用 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 从您的 Amazon Web Services 账户 中删除用户时,您必须先使用此操作删除密码。有关更多信息,请参阅 移除 IAM 用户 (Amazon CLI)

在指定时间之前撤销用户的活动控制台会话 (Amazon CLI)
  1. 要嵌入在指定时间之前撤销 IAM 用户的活动控制台会话的内联策略,请使用以下内联策略并运行此命令:aws iam put-user-policy

    此内联策略拒绝所有权限并包含 aws:TokenIssueTime 条件键。它会在内联策略的 Condition 元素中的指定时间之前撤销用户的活动控制台会话。将 aws:TokenIssueTime 条件键值替换为您自己的值。

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (可选)要列出 IAM 用户中嵌入的内联策略的名称,请运行此命令:aws iam list-user-policies

  3. (可选)要查看 IAM 用户中嵌入的命名内联策略,请运行此命令:aws iam get-user-policy

创建、更改或删除 IAM 用户密码 (Amazon API)

您可以使用 Amazon API 管理 IAM 用户的密码。

创建密码 (Amazon API)
  1. (可选)要确定用户是否有密码,请调用此操作:GetLoginProfile

  2. 要创建密码,请调用此操作:CreateLoginProfile

更改用户的密码 (Amazon API)
  1. (可选)要确定用户是否有密码,请调用此操作:GetLoginProfile

  2. 要更改密码,请调用此操作:UpdateLoginProfile

删除(禁用)用户的密码 (Amazon API)
  1. (可选)要确定用户是否有密码,请运行此命令:GetLoginProfile

  2. (可选)要确定上次使用密码的时间,请运行此命令:GetUser

  3. 要删除密码,请运行此命令:DeleteLoginProfile

重要

在删除用户的密码后,用户无法再登录到 Amazon Web Services Management Console。如果该用户具有有效的访问密钥,它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 函数调用进行访问。在使用 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 从您的 Amazon Web Services 账户 中删除用户时,您必须先使用此操作删除密码。有关更多信息,请参阅 移除 IAM 用户 (Amazon CLI)

在指定时间之前撤销用户的活动控制台会话 (Amazon API)
  1. 要嵌入在指定时间之前撤销 IAM 用户的活动控制台会话的内联策略,请使用以下内联策略并运行此命令:PutUserPolicy

    此内联策略拒绝所有权限并包含 aws:TokenIssueTime 条件键。它会在内联策略的 Condition 元素中的指定时间之前撤销用户的活动控制台会话。将 aws:TokenIssueTime 条件键值替换为您自己的值。

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (可选)要列出 IAM 用户中嵌入的内联策略的名称,请运行此命令:ListUserPolicies

  3. (可选)要查看 IAM 用户中嵌入的命名内联策略,请运行此命令:GetUserPolicy