Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
更改 IAM 用户的权限
您可以更改您 Amazon Web Services 账户 中的 IAM 用户的权限,方法是更改用户的组成员资格、复制现有用户的权限、直接为用户附加策略或设置权限边界。权限边界控制用户可以具有的最大权限。权限边界是一项高级 Amazon 功能。
有关您修改用户的权限所需的权限的信息,请参阅访问 IAM 资源所需的权限。
查看用户访问
在更改用户的权限之前,您应查看其最近的服务级别活动。这非常重要,因为您不想删除使用它的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅 使用上次访问的信息优化 Amazon 中的权限。
基于用户的访问活动生成策略
有时,您可能会向 IAM 实体(用户或角色)授予超出其需要的权限。为帮助您优化授予的权限,您可以根据实体的访问活动生成 IAM policy。IAM 访问分析器会查看您的 Amazon CloudTrail 日志并生成一个策略模板,其中包含实体在指定日期范围内使用的权限。您可以使用模板创建具有精细权限的托管策略,然后将其附加到 IAM 实体。这样,您仅需授予用户或角色与特定使用案例中的 Amazon 资源进行交互所需的权限。要了解更多信息,请参阅 IAM Acess Analyzer 策略生成。
向用户添加权限(控制台)
IAM 提供了三种方法来向用户添加权限策略:
-
将 IAM 用户添加到组 - 使用户成为一个组的成员。来自该组的策略将附加到用户。
-
复制现有 IAM 用户的权限 - 复制所有组成员资格、附加的托管策略、内联策略以及源用户的任何现有权限边界。
-
直接为 IAM 用户附加策略 - 直接为用户附加托管策略。为方便管理权限,请将策略附加到组,然后让 IAM 用户成为相应组的成员。
如果用户具有权限边界,则您为用户添加的权限不能超过权限边界所允许的权限。
要通过将用户添加到组来添加权限
将 IAM 用户添加到 IAM 组后,该用户的权限会立即更新为该组所定义的权限。
- IAM console
-
-
按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。
-
在 Console Home(控制台主页)页面,选择 IAM 服务。
-
在导航窗格中,选择 Users(用户)。
-
在 Users(用户)列表中,选择 IAM 用户的名称。
-
选择 Groups(群组)选项卡,以显示包含当前用户的群组的列表。
-
选择 Add user to groups(将用户添加到群组)。
-
选择您希望用户加入的每个组所对应的复选框。列表显示了每个组的名称以及用户在成为该组成员后获得的策略。
-
(可选)您可以选择 Create group(创建群组)来定义新的群组。如果您想将用户添加到与现有群组具有不同附加策略的群组中,这将非常有用:
-
在新选项卡中,对于 User group name(用户组名),键入您的新组名称。
Amazon 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅 IAM 和 Amazon STS 配额。组名称可以是最多由 128 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您不能创建名为 TESTGROUP 和 testgroup 的两个组。
-
选中您要附加到组的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口;选择 Refresh,然后选择新策略以将其附加到您的组。有关更多信息,请参阅 使用客户管理型策略定义自定义 IAM 权限。
-
选择创建用户组。
-
返回到原始选项卡,刷新您的组列表。然后选中您的新组所对应的复选框。
-
选择 Add user to group(s)(将用户添加到群组)。
控制台会显示一条状态消息,通知您用户已添加到您指定的群组中。
要通过从其他 IAM 用户复制来添加权限
如果您选择通过复制权限来为 IAM 用户添加权限,那么 IAM 会复制指定用户的所有组成员资格、附加托管策略、内联策略和任何现有权限边界,并立即将其应用到当前选定的用户。
- IAM console
-
-
按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。
-
在 Console Home(控制台主页)页面,选择 IAM 服务。
-
在导航窗格中,选择 Users(用户)。
-
在 Users(用户)列表中,选择 IAM 用户的名称。
-
在 Permissions(权限)选项卡中,选择 Add permissions(添加权限)。
-
在 Add permissions(添加权限)页面上,选择 Copy permissions(复制权限)。列表显示了可用 IAM 用户以及其组成员资格和附加的策略。
-
选择您想要复制其权限的用户旁边的单选按钮。
-
选择 Next(下一步),以查看要对用户所做的更改列表。然后选择 Add permissions(添加权限)。
控制台会显示一条状态消息,通知您权限已从您指定的 IAM 用户那里复制。
要通过直接将策略附加到 IAM 用户来添加权限
您可以直接将托管策略附加到 IAM 用户。更新后的权限会立即应用。
- IAM console
-
-
按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。
-
在 Console Home(控制台主页)页面,选择 IAM 服务。
-
在导航窗格中,选择 Users(用户)。
-
在 Users(用户)列表中,选择 IAM 用户的名称。
-
在 Permissions(权限)选项卡中,选择 Add permissions(添加权限)。
-
在 Add permissions(添加权限)页面上,选择 Attach policies directly(直接附加策略)。Permissions policies(权限策略)列表显示可用策略及其策略类型和附加实体。
-
选择要附加的 Policy name(策略名称)旁边的单选按钮。
-
选择 Next(下一步),以查看要对用户所做的更改列表。然后选择 Add permissions(添加权限)。
控制台会显示一条状态消息,通知您已将策略添加到指定的 IAM 用户。
要为 IAM 用户设置权限边界
权限边界是 Amazon 中管理权限的高级功能,用于设置 IAM 用户可拥有的最大权限。设置权限边界会立即将 IAM 用户的权限限制在边界内,而与授予的其他权限无关。
- IAM console
-
-
按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。
-
在 Console Home(控制台主页)页面,选择 IAM 服务。
-
在导航窗格中,选择 Users(用户)。
-
在 Users(用户)列表中,选择要更改其权限边界的 IAM 用户的名称。
-
选择 Permissions(权限)选项卡。如有必要,打开 Permissions boundary (权限边界)部分,然后选择 Set permissions boundary(设置权限边界)。
-
在 Set permissions boundary(设置权限边界)页面中的 Permissions policies(权限策略)下,选择您要用于权限边界的策略。
-
选择 Set boundary(设置边界)。
控制台会显示一条状态消息,通知您权限边界已添加。
更改用户的权限(控制台)
IAM 允许您通过以下方式更改与用户关联的权限:
编辑附加到用户的权限策略
更改权限会立即更新用户的访问权限。
- IAM console
-
-
按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。
-
在 Console Home(控制台主页)页面,选择 IAM 服务。
-
在导航窗格中,选择 Users(用户)。
-
在 Users(用户)列表中,选择要更改其权限边界的 IAM 用户的名称。
-
选择 Permissions(权限)选项卡。如有必要,打开 Permissions boundary(权限边界)部分。
-
请选择要编辑的策略的名称以查看有关该策略的详细信息。选择 Entities attached(附加的实体)选项卡,查看编辑策略后可能受影响的其他实体(IAM 用户、组和角色)。
-
选择 Permissions(权限)选项卡并查看策略授予的权限。要更改权限,请选择 Edit(编辑)。
-
编辑该策略并解决任何策略验证建议。有关更多信息,请参阅 编辑 IAM 策略。
-
选择 Next(下一步),查看策略摘要,然后选择 Save changes(保存更改)。
控制台会显示一条状态消息,通知您策略已更新。
要为用户更改权限边界
更改权限边界会立即更新用户的访问权限。
- IAM console
-
-
按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。
-
在 Console Home(控制台主页)页面,选择 IAM 服务。
-
在导航窗格中,选择 Users(用户)。
-
在 Users(用户)列表中,选择要更改其权限边界的 IAM 用户的名称。
-
选择 Permissions(权限)选项卡。如有必要,打开 Permissions boundary(权限边界)部分,然后选择 Change boundary(更改边界)。
-
选择要用于权限边界的策略。
-
选择 Set boundary(设置边界)。
控制台会显示一条状态消息,通知您权限边界已更改。
要从用户删除权限策略(控制台)
删除权限策略会立即更新用户的访问权限。
- IAM console
-
-
按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。
-
在 Console Home(控制台主页)页面,选择 IAM 服务。
-
在导航窗格中,选择 Users(用户)。
-
选择要删除其权限策略的用户的名称。
-
选择 Permissions(权限)选项卡。
-
如果要通过移除现有策略来撤消权限,请查看 Attached via(附加方式)来了解用户如何获取该策略,然后再选择 Remove(删除)以删除策略:
-
如果该策略因组成员资格而适用,则选择 Remove(删除),从组中删除该用户。请记住,可向单个组中附加多个策略。如果您从组中删除某个用户,该用户将失去对其通过组成员资格接收的所有策略的访问权限。
-
如果该策略是直接附加到该用户的托管策略,则选择删除,从该用户中分离该策略。这不会影响该策略本身或该策略可能附加到的任何其他实体。
-
如果该策略是内联嵌入式策略,则选择 Remove(删除),从 IAM 中删除该策略。直接附加到用户的内联策略只能在该用户中存在。
如果策略是通过组成员资格授予用户的,则控制台会显示一条状态消息,通知您该 IAM 用户已从 IAM 组移除。如果策略是直接附加或内联的,则状态消息会通知您该策略已被删除。
要从用户删除权限边界(控制台)
删除权限边界会立即更新用户的访问权限。
- IAM console
-
-
按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。
-
在 Console Home(控制台主页)页面,选择 IAM 服务。
-
在导航窗格中,选择 Users(用户)。
-
在 Users(用户)列表中,选择要删除其权限边界的 IAM 用户的名称。
-
选择 Permissions(权限)选项卡。如有必要,打开 Permissions boundary(权限边界)部分。
-
选择 Change boundary(更改边界)。要确认要删除权限边界,请在确认对话框中选择 Remove boundary(删除边界)。
控制台会显示一条状态消息,通知您权限边界已删除。
添加和删除用户的权限(Amazon CLI 或 Amazon API)
要以编程方式添加或删除权限,您必须添加组成员资格、附加或分离托管策略或者添加或删除内联策略。有关更多信息,请参阅以下主题: