AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

更改 IAM 用户的权限

您可以更改您的 AWS 账户中的 IAM 用户的权限,方法是更改用户的组成员资格、复制现有用户的权限、直接为用户附加策略或设置权限边界。权限边界控制用户可以具有的最大权限。权限边界是一项高级 AWS 功能。

有关您修改用户的权限所需的权限的信息,请参阅访问 IAM 资源所需的权限

向用户添加权限(控制台)

IAM 提供了三种方法来向用户添加权限策略:

  • 将用户添加到组 – 使用户成为一个组的成员。来自该组的策略将附加到用户。

  • 复制现有用户的权限 – 复制所有组成员资格、附加的托管策略、内联策略以及源用户的任何现有权限边界。

  • 直接为用户附加策略 – 直接为用户附加托管策略。作为最佳实践,我们建议您改为将策略附加到组,然后使用户成为相应的组的成员。

重要

如果用户具有权限边界,则您为用户添加的权限不能超过权限边界所允许的权限。

通过将用户添加到组来添加权限

将用户添加到组会立即影响用户。

通过将用户添加到组来向用户添加权限

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 在控制台的 Groups 列中查看用户的当前组成员资格。如有必要,请通过完成以下步骤来将该列添加到用户表中:

    1. 在最右侧的表上方,选择设置符号 ( 
                    Settings icon
                  )。

    2. Manage Columns 对话框中,选择 Groups 列。(可选) 您还可以清除不希望在用户表中显示的任何列标题的复选框。

    3. 选择 Close 返回到用户列表。

    Groups 列指示用户所属的组。该列最多包含两个组的组名称。如果用户是三个或更多个组的成员,则只显示前两个组(按字母顺序排序),并且包含其他组成员资格的数量。例如,如果用户属于组 A、组 B、组 C 和组 D,则该字段包含值 Group A, Group B + 2 more。要查看用户所属组的总数,可以向用户表添加 Group count 列。

  4. 选择要修改其权限的用户的名称。

  5. 选择 Permissions 选项卡,然后选择 Add permissions。选择 Add user to group

  6. 选择您希望用户加入的每个组所对应的复选框。列表显示了每个组的名称以及用户在成为该组成员后获得的策略。

  7. (可选)除了从现有组中进行选择之外,您还可以选择 Create group 来定义新组。

    1. 在新选项卡中,对于组名,键入您的新组的名称。

      注意

      组名称可以是最多由 128 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您不能创建名为 TESTGROUPtestgroup 的两个组。有关 IAM 实体限制条件的更多信息,请参阅 IAM 实体和对象的限制

    2. 选中您要附加到组的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口;选择 Refresh,然后选择新策略以将其附加到您的组。有关更多信息,请参阅创建 IAM 策略

    3. 选择 Create group

    4. 返回到原始选项卡,刷新您的组列表。然后选中您的新组所对应的复选框。

  8. 选择 Next: Review 以查看要添加到用户的组成员资格的列表。然后选择 Add permissions

通过从其他用户复制来添加权限

复制权限会立即影响用户。

通过从其他用户复制权限来向用户添加权限

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中选择 Users,选择您要修改其权限的用户的名称,然后选择 Permissions 选项卡。

  3. 选择添加权限,然后选择从现有用户复制权限。列表显示了可用用户以及其组成员资格和附加的策略。如果组或策略的完整列表不能显示在一行中,您可以选择 and n more 链接。执行此操作将打开新的浏览器选项卡,可以查看策略 (Permissions 选项卡) 和组 (Groups 选项卡) 的完整列表。

  4. 选择您想要复制其权限的用户旁边的单选按钮。

  5. 选择 Next: Review 以查看要对用户所做的更改的列表。然后选择 Add permissions

通过直接将策略附加到用户来添加权限

附加策略会立即影响用户。

通过直接附加托管策略来向用户添加权限

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中选择 Users,选择您要修改其权限的用户的名称,然后选择 Permissions 选项卡。

  3. 选择添加权限,然后选择直接将现有策略附加到用户

  4. 选中您要附加到用户的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口。选择 Refresh (刷新),然后选中新策略对应的复选框以将该策略附加到您的用户。有关更多信息,请参阅创建 IAM 策略

  5. 选择 Next: Review 以查看要附加到用户的策略的列表。然后选择 Add permissions

为用户设置权限边界

设置权限边界会立即影响用户。

为用户设置权限边界

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择要更改其权限边界的用户的名称。

  4. 选择 Permissions 选项卡。如有必要,打开权限边界部分,然后选择设置边界

  5. 选择要用于权限边界的策略。

  6. 选择设置边界

更改用户的权限(控制台)

IAM 提供了三种方法来更改与用户关联的权限:

  • 编辑权限策略 – 编辑用户的内联策略、用户的组的内联策略,或编辑直接附加到用户或从组附加到用户的托管策略。如果用户具有权限边界,则您提供的权限不能超过用作用户的权限边界的策略所允许的权限。

  • 更改权限边界 – 更改用作用户的权限边界的策略。这可以扩大或限制用户可以具有的最大权限。

编辑附加到用户的权限策略

更改权限会立即影响用户。

编辑用户的已附加托管策略

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择要更改其权限策略的用户的名称。

  4. 选择 Permissions 选项卡。如有必要,打开权限策略部分。

  5. 选择要编辑的策略的名称以查看有关该策略的详细信息。选择用作选项卡以查看您编辑策略可能会影响到的其他实体。

  6. 选择权限选项卡并查看策略授予的权限。然后选择编辑策略

  7. 使用可视化编辑器选项卡或 JSON 选项卡编辑策略。有关更多信息,请参阅编辑 IAM 策略

  8. 选择查看策略,查看策略摘要,然后选择保存更改

更改用户的权限边界

更改权限边界会立即影响用户。

更改用于设置用户的权限边界的策略

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择要更改其权限边界的用户的名称。

  4. 选择 Permissions 选项卡。如有必要,打开权限边界部分,然后选择更改边界

  5. 选择要用于权限边界的策略。

  6. 选择更改边界

从用户删除权限策略(控制台)

删除策略会立即影响用户。

撤消 IAM 用户的权限

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择要删除其权限边界的用户的名称。

  4. 选择 Permissions 选项卡。

  5. 如果需要通过删除现有策略来撤消权限,请在通过选择 X 删除策略之前先查看 Policy type 以了解用户获得该策略的方式。

    • 如果该策略因组成员资格而适用,则选择 X 可从组中删除该用户。请记住,可向单个组中附加多个策略。如果您从组中删除某个用户,该用户将失去对其通过组成员资格接收的所有 策略的访问权限。

    • 如果策略是直接附加到该用户的托管策略,则选择 X 可分离该用户和该策略。这不会影响该策略本身或该策略可能附加到的任何其他实体。

    • 如果该策略是内联嵌入式策略,则选择 X 可从 IAM 中删除该策略。直接附加到用户的内联策略只能在该用户中存在。

从用户删除权限边界(控制台)

删除权限边界会立即影响用户。

从用户删除权限边界

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择要删除其权限边界的用户的名称。

  4. 选择 Permissions 选项卡。如有必要,打开权限边界部分,然后选择删除边界

  5. 选择删除以确认您要删除权限边界。

添加和删除用户的权限(AWS CLI 或 AWS API)

要以编程方式添加或删除权限,您必须添加组成员资格、附加或分离托管策略或者添加或删除内联策略。有关更多信息,请参阅以下主题: