# 管理 IAM 用户的密码
<a name="id_credentials_passwords_admin-change-user"></a>

通过 Amazon Web Services 管理控制台 使用 Amazon 资源的 IAM 用户必须具有密码才能登录。您可以创建、更改或删除您的 Amazon 账户中 IAM 用户的密码。

向用户分配密码后，该用户可使用您的账户的登录 URL 登录 Amazon Web Services 管理控制台，如下所示：

```
https://12-digit-Amazon-account-ID or alias.signin.aws.amazon.com/console
```

有关 IAM 用户如何登录 Amazon Web Services 管理控制台 的更多信息，请参阅《Amazon 登录 用户指南》**中的[如何登录 Amazon](https://docs.amazonaws.cn/signin/latest/userguide/how-to-sign-in.html)。

即使用户有自己的密码，还是需要权限才能访问您的 Amazon 资源。默认情况下，用户没有权限。为授予用户所需的许可，您可向用户或用户所属的群组分配策略。有关创建用户和组的信息，请参阅 [IAM 身份](id.md)。有关使用策略来设置许可的信息，请参阅 [更改 IAM 用户的权限](id_users_change-permissions.md)。

可向用户授予相应的权限，用于更改其自身的密码。有关更多信息，请参阅 [允许 IAM 用户更改自己的密码](id_credentials_passwords_enable-user-change.md)。有关用户如何访问账户登录页面的信息，请参阅《Amazon 登录 用户指南》**中的[如何登录 Amazon](https://docs.amazonaws.cn/signin/latest/userguide/how-to-sign-in.html)。

**Topics**
+ [创建、更改或删除 IAM 用户密码（控制台）](#id_credentials_passwords_admin-change-user_console)

## 创建、更改或删除 IAM 用户密码（控制台）
<a name="id_credentials_passwords_admin-change-user_console"></a>

您可以使用 Amazon Web Services 管理控制台 管理 IAM 用户的密码。

用户的访问需求可能会随着时间而变化。您可能需要让原本拥有 CLI 访问权限的用户开始访问控制台，因为用户收到了包含其凭证的电子邮件而更改其密码，或者在用户离开您的组织或不再需要 Amazon 访问权限时删除其密码。

### 要创建 IAM 用户密码（控制台）
<a name="id_credentials_passwords_admin-change-user-section-1"></a>

使用此步骤创建与用户名相关联的密码，为用户提供控制台访问权限。

------
#### [ Console ]

1. 按照 *Amazon 登录用户指南*中的[如何登录 Amazon](https://docs.amazonaws.cn/signin/latest/userguide/how-to-sign-in.html)所述，根据用户类型选择相应的登录过程。

1. 在 **IAM 控制台主页**左侧的导航窗格中，在**搜索 IAM** 文本框中输入查询语句。

1. 在导航窗格中，选择 **Users**（用户）。

1. 请选择要为其创建密码的用户的名称。

1. 选择 **Security credentials**（安全凭证）选项卡，然后在 **Console sign-in**（控制台登录）下选择 **Enable console access**（启用控制台访问权限）。

1. 在 **Enable console access**（启用控制台访问权限）对话框中，选择 **Reset password**（重置密码），然后选择是让 IAM 生成密码还是创建自定义密码：
   + 要让 IAM 生成密码，请选择 **Autogenerated password**（自动生成的密码）。
   + 要创建自定义密码，请选择 **Custom password**（自定义密码），然后键入密码。
**注意**  
您创建的密码必须符合账户的[密码策略](id_credentials_passwords_account-policy.md)。

1. 若要求用户在登录时创建新密码，请选择 **Require password change at the next sign-in**（必须在下次登录时更改密码）。

1. 若要求用户立即使用新密码，请选择 **Revoke active console sessions**（撤消活动控制台会话）。这会向 IAM 用户附加一个内联策略，如果用户的凭证超过了策略指定的时间，则该策略就会拒绝用户访问资源。

1. 选择 **Reset password**（重置密码）。

1. **Console password**（控制台密码）对话框通知您已启用用户的新密码。要查看密码以便与用户共享它，请在 **Console password**（控制台密码）对话框中选择 **Show**（显示）。选择 **Download .csv file**（下载 .csv 文件），下载包含用户凭证的文件。
**重要**  
出于安全原因，在完成该步骤后您无法访问该密码，但您可以随时创建新密码。

控制台会显示一条状态消息，通知您控制台访问权限已启用。

------

### 要更改 IAM 用户的密码（控制台）
<a name="id_credentials_passwords_admin-change-user-section-2"></a>

使用此步骤更新与用户名关联的密码。

------
#### [ Console ]

1. 按照 *Amazon 登录用户指南*中的[如何登录 Amazon](https://docs.amazonaws.cn/signin/latest/userguide/how-to-sign-in.html)所述，根据用户类型选择相应的登录过程。

1. 在 **IAM 控制台主页**左侧的导航窗格中，在**搜索 IAM** 文本框中输入查询语句。

1. 在导航窗格中，选择 **Users**（用户）。

1. 请选择要更改其密码的用户的名称。

1. 选择 **Security credentials**（安全凭证）选项卡，然后在 **Console sign-in**（控制台登录）下选择 **Manage console access**（管理控制台访问权限）。

1. 在 **Manage console access**（管理控制台访问权限）对话框中，选择 **Reset password**（重置密码），然后选择是让 IAM 生成密码还是创建自定义密码：
   + 要让 IAM 生成密码，请选择 **Autogenerated password**（自动生成的密码）。
   + 要创建自定义密码，请选择 **Custom password**（自定义密码），然后键入密码。
**注意**  
您创建的密码必须符合账户的[密码策略](id_credentials_passwords_account-policy.md)。

1. 若要求用户在登录时创建新密码，请选择 **Require password change at the next sign-in**（必须在下次登录时更改密码）。

1. 若要求用户立即使用新密码，请选择 **Revoke active console sessions**（撤消活动控制台会话）。这会向 IAM 用户附加一个内联策略，如果用户的凭证超过了策略指定的时间，则该策略就会拒绝用户访问资源。

1. 选择 **Reset password**（重置密码）。

1. **Console password**（控制台密码）对话框通知您已启用用户的新密码。要查看密码以便与用户共享它，请在 **Console password**（控制台密码）对话框中选择 **Show**（显示）。选择 **Download .csv file**（下载 .csv 文件），下载包含用户凭证的文件。
**重要**  
出于安全原因，在完成该步骤后您无法访问该密码，但您可以随时创建新密码。

控制台会显示一条状态消息，通知您控制台访问权限已更新。

------

### 要删除（禁用）IAM 用户的密码（控制台）
<a name="id_credentials_passwords_admin-change-user-section-3"></a>

使用此步骤删除与用户名关联的密码，从而取消用户的控制台访问权限。

**重要**  
您可以通过删除 IAM 用户的密码来阻止其访问 Amazon Web Services 管理控制台。这样可以阻止他们使用其登录凭证登录 Amazon Web Services 管理控制台。这不会更改他们的权限，也不会阻止他们使用担任的角色访问控制台。如果该用户具有有效的访问密钥，它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell、Amazon API，或 Amazon Console Mobile Application 进行访问。

------
#### [ Console ]

1. 按照 *Amazon 登录用户指南*中的[如何登录 Amazon](https://docs.amazonaws.cn/signin/latest/userguide/how-to-sign-in.html)所述，根据用户类型选择相应的登录过程。

1. 在 **IAM 控制台主页**左侧的导航窗格中，在**搜索 IAM** 文本框中输入查询语句。

1. 在导航窗格中，选择 **Users**（用户）。

1. 请选择要删除其密码的用户的名称。

1. 选择**安全凭证**选项卡，然后在**控制台登录**下选择**管理控制台访问权限**。

1. 若要求用户立即停止使用控制台，请选择 **Revoke active console sessions**（撤消活动控制台会话）。这会向 IAM 用户附加一个内联策略，如果用户的凭证超过了策略指定的时间，则该策略就会拒绝用户访问资源。

1. 然后选择 **Disable access**（禁用访问）。

控制台会显示一条状态消息，通知您控制台访问已禁用。

------

### 创建、更改或删除 IAM 用户密码 (Amazon CLI)
<a name="Using_ManagingPasswordsCLIAPI"></a>

您可以使用 Amazon CLI API 管理 IAM 用户的密码。

**创建密码 (Amazon CLI)**

1. （可选）要确定用户是否有密码，请运行此命令：[aws iam get-login-profile](https://docs.amazonaws.cn/cli/latest/reference/iam/get-login-profile.html)

1. 要创建密码，请运行此命令：[aws iam create-login-profile](https://docs.amazonaws.cn/cli/latest/reference/iam/create-login-profile.html)

**更改用户的密码 (Amazon CLI)**

1. （可选）要确定用户是否有密码，请运行此命令：[aws iam get-login-profile](https://docs.amazonaws.cn/cli/latest/reference/iam/get-login-profile.html)

1. 要更改密码，请运行此命令：[aws iam update-login-profile](https://docs.amazonaws.cn/cli/latest/reference/iam/update-login-profile.html)

**删除（禁用）用户的密码 (Amazon CLI)**

1. （可选）要确定用户是否有密码，请运行此命令：[aws iam get-login-profile](https://docs.amazonaws.cn/cli/latest/reference/iam/get-login-profile.html)

1. （可选）要确定上次使用密码的时间，请运行此命令：[aws iam get-user](https://docs.amazonaws.cn/cli/latest/reference/iam/get-user.html)

1. 要删除密码，请运行此命令：[aws iam delete-login-profile](https://docs.amazonaws.cn/cli/latest/reference/iam/delete-login-profile.html)

**重要**  
在删除用户的密码后，用户无法再登录到 Amazon Web Services 管理控制台。如果该用户具有有效的访问密钥，它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 函数调用进行访问。在使用 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 从您的 Amazon Web Services 账户 中删除用户时，您必须先使用此操作删除密码。有关更多信息，请参阅 [移除 IAM 用户 (Amazon CLI)](id_users_remove.md#id_users_deleting_cli)。

**在指定时间之前撤销用户的活动控制台会话 (Amazon CLI)**

1. 要嵌入在指定时间之前撤销 IAM 用户的活动控制台会话的内联策略，请使用以下内联策略并运行此命令：[aws iam put-user-policy](https://docs.amazonaws.cn/cli/latest/reference/iam/put-user-policy.html)

   此内联策略拒绝所有权限并包含 `aws:TokenIssueTime` 条件键。它会在内联策略的 `Condition` 元素中的指定时间之前撤销用户的活动控制台会话。将 `aws:TokenIssueTime` 条件键值替换为您自己的值。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. （可选）要列出 IAM 用户中嵌入的内联策略的名称，请运行此命令：[aws iam list-user-policies](https://docs.amazonaws.cn/cli/latest/reference/iam/list-user-policies.html)

1. （可选）要查看 IAM 用户中嵌入的命名内联策略，请运行此命令：[aws iam get-user-policy](https://docs.amazonaws.cn/cli/latest/reference/iam/get-user-policy.html)

### 创建、更改或删除 IAM 用户密码 (Amazon API)
<a name="Using_ManagingPasswordsAPI"></a>

您可以使用 Amazon API 管理 IAM 用户的密码。

**创建密码 (Amazon API)**

1. （可选）要确定用户是否有密码，请调用此操作：[GetLoginProfile](https://docs.amazonaws.cn/IAM/latest/APIReference/API_GetLoginProfile.html)

1. 要创建密码，请调用此操作：[CreateLoginProfile](https://docs.amazonaws.cn/IAM/latest/APIReference/API_CreateLoginProfile.html)

**更改用户的密码 (Amazon API)**

1. （可选）要确定用户是否有密码，请调用此操作：[GetLoginProfile](https://docs.amazonaws.cn/IAM/latest/APIReference/API_GetLoginProfile.html)

1. 要更改密码，请调用此操作：[UpdateLoginProfile](https://docs.amazonaws.cn/IAM/latest/APIReference/API_UpdateLoginProfile.html)

**删除（禁用）用户的密码 (Amazon API)**

1. （可选）要确定用户是否有密码，请运行此命令：[GetLoginProfile](https://docs.amazonaws.cn/IAM/latest/APIReference/API_GetLoginProfile.html)

1. （可选）要确定上次使用密码的时间，请运行此命令：[GetUser](https://docs.amazonaws.cn/IAM/latest/APIReference/API_GetUser.html)

1. 要删除密码，请运行此命令：[DeleteLoginProfile](https://docs.amazonaws.cn/IAM/latest/APIReference/API_DeleteLoginProfile.html)

**重要**  
在删除用户的密码后，用户无法再登录到 Amazon Web Services 管理控制台。如果该用户具有有效的访问密钥，它们将继续起作用并允许通过 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 函数调用进行访问。在使用 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 从您的 Amazon Web Services 账户 中删除用户时，您必须先使用此操作删除密码。有关更多信息，请参阅 [移除 IAM 用户 (Amazon CLI)](id_users_remove.md#id_users_deleting_cli)。

**在指定时间之前撤销用户的活动控制台会话 (Amazon API)**

1. 要嵌入在指定时间之前撤销 IAM 用户的活动控制台会话的内联策略，请使用以下内联策略并运行此命令：[PutUserPolicy](https://docs.amazonaws.cn/IAM/latest/APIReference/API_PutUserPolicy.html)

   此内联策略拒绝所有权限并包含 `aws:TokenIssueTime` 条件键。它会在内联策略的 `Condition` 元素中的指定时间之前撤销用户的活动控制台会话。将 `aws:TokenIssueTime` 条件键值替换为您自己的值。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. （可选）要列出 IAM 用户中嵌入的内联策略的名称，请运行此命令：[ListUserPolicies](https://docs.amazonaws.cn/IAM/latest/APIReference/API_ListUserPolicies.html)

1. （可选）要查看 IAM 用户中嵌入的命名内联策略，请运行此命令：[GetUserPolicy](https://docs.amazonaws.cn/IAM/latest/APIReference/API_GetUserPolicy.html)