AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

更改 IAM 用户的权限

您可以在 AWS 账户中通过更改 IAM 用户的组成员资格或附加和分离托管策略,从而更改用户的权限。用户可通过以下方法之一获取权限:

组成员资格
直接策略附加

有关您修改用户的权限所需的权限的信息,请参阅访问 IAM 资源所需的权限

向新用户或现有用户添加权限 (控制台)

您可以通过以下三种方法之一来更改与用户关联的权限:

  • 将用户添加到组 – 使用户成为一个已附加策略的组的成员。该组的每个成员均可获得由组策略授予的权限。

  • 复制现有用户的权限 – 复制所有组成员资格和附加的托管策略,以及嵌入在源用户中的所有内联策略。

  • 直接为用户附加策略 – 直接为用户附加托管策略。作为最佳实践,我们建议您改为将策略附加到组,然后使用户成为相应的组的成员。

通过将用户添加到组来添加权限

通过将用户添加到组来向用户添加权限

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 在控制台的 Groups 列中查看用户的当前组成员资格。如有必要,请通过完成以下步骤来将该列添加到用户表中:

    1. 在最右侧的表上方,选择设置符号 (  设置图标 )。

    2. Manage Columns 对话框中,选择 Groups 列。(可选) 您还可以清除不希望在用户表中显示的任何列标题的复选框。

    3. 选择 Close 返回到用户列表。

    Groups 列指示用户所属的组。该字段最多包含两个组的组名称。如果用户是三个或更多个组的成员,则只显示前两个组 (按字母顺序排序),并且包含其他组成员资格的数量。例如,如果用户属于组 A、组 B、组 C 和组 D,则该字段包含值 Group A, Group B + 2 more。要查看用户所属组的总数,可以向用户表添加 Group count 列。

  4. 选择要修改其权限的用户的名称。

  5. 选择 Permissions 选项卡,然后选择 Add permissions。在 Grant permissions 下,选择 Add user to group

  6. 选择您希望用户加入的每个组所对应的复选框。列表显示了每个组的名称以及用户在成为该组成员后获得的策略。在完成此过程之后,每个选定组中的权限将会立即应用于该用户。

  7. (可选)除了从现有组中进行选择之外,您还可以选择 Create group 来定义新组。

    1. 对于 Group name,为您的新组键入名称。

      注意

      组名称可以是最多由 128 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您不能创建名为 TESTGROUPtestgroup 的两个组。有关 IAM 实体限制条件的更多信息,请参阅 IAM 实体和对象的限制

    2. 选中您要附加到组的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。 如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口;选择 Refresh,然后选择新策略以将其附加到您的组。有关更多信息,请参阅 创建 IAM 策略

    3. 选择 Create group

    4. 返回到组列表中,选中您的新组所对应的复选框。

  8. 选择 Next: Review 以查看要添加到用户的组成员资格的列表。然后选择 Add permissions

新权限会立即影响用户。

通过从其他用户复制来添加权限

通过从其他用户复制权限来向用户添加权限

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中选择 Users,选择您要修改其权限的用户的名称,然后选择 Permissions 选项卡。

  3. 选择 Add permissions,然后在 Grant permissions 下选择 Copy permissions from existing user。列表显示了可用用户以及其组成员资格和附加的策略。如果组或策略的完整列表不能显示在一行中,您可以选择 and n more 链接。执行此操作将打开新的浏览器选项卡,可以查看策略 (Permissions 选项卡) 和组 (Groups 选项卡) 的完整列表。

  4. 选择您想要复制其权限的用户旁边的单选按钮。

  5. 选择 Next: Review 以查看要对用户所做的更改的列表。然后选择 Add permissions

新权限会立即影响用户。

通过直接将策略附加到用户来添加权限

通过直接附加托管策略来向用户添加权限

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中选择 Users,选择您要修改其权限的用户的名称,然后选择 Permissions 选项卡。

  3. 选择 Add permissions,然后在 Grant permissions 下选择 Attach existing policies directly to user

  4. 选中您要附加到组的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。 如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口;选择 Refresh;选中新策略所对应的复选框将其附加到您的用户。有关更多信息,请参阅 创建 IAM 策略

  5. 选择 Next: Review 以查看要附加到用户的策略的列表。然后选择 Add permissions

新权限会立即影响用户。

从现有用户删除权限 (控制台)

撤消 IAM 用户的权限

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中选择 Users,选择您要修改其权限的用户的名称,然后选择 Permissions 选项卡。

    Permissions 选项卡显示应用于该用户的每个策略以及用户获得该策略的方式。

  3. 如果需要通过删除现有策略来撤消权限,请在通过选择 X 删除策略之前先查看 Policy type 以了解用户获得该策略的方式。

    • 如果该策略因组成员资格而适用,则选择 X 可从组中删除该用户。因为您可能从单个组中附加多个策略,所以,如果从组中删除某个用户,该用户将失去它通过该组成员资格获得的对所有 策略的访问权限。

    • 如果策略是直接附加到该用户的托管策略,则选择 X 可分离该用户和该策略。这不会影响该策略本身或该策略可能附加到的任何其他实体。

    • 如果该策略是内联嵌入式策略,则选择 X 可从 IAM 中删除该策略。直接附加到用户的内联策略只能在该用户中存在。

从用户添加和删除权限 (AWS API、AWS CLI、Windows PowerShell 工具)

要以编程方式添加或删除权限,您必须添加组成员资格、附加或分离托管策略或者添加或删除内联策略。有关更多信息,请参阅以下主题: