更改 IAM 用户的权限 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

更改 IAM 用户的权限

您可以更改您的 Amazon 账户中的 IAM 用户的权限,方法是更改用户的组成员资格、复制现有用户的权限、直接为用户附加策略或设置权限边界。权限边界控制用户可以具有的最大权限。权限边界是一项高级 Amazon 功能。

有关您修改用户的权限所需的权限的信息,请参阅访问 IAM 资源所需的权限

查看用户访问

在更改用户的权限之前,您应查看其最近的服务级别活动。这非常重要,因为您不想删除使用它的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅使用上次访问的信息优化 Amazon 中的权限

基于用户的访问活动生成策略

有时,您可能会向 IAM 实体(用户或角色)授予超出其需要的权限。为帮助您优化授予的权限,您可以根据实体的访问活动生成 IAM 策略。IAM 访问分析器会查看您的 Amazon CloudTrail 日志并生成一个策略模板,其中包含实体在指定日期范围内使用的权限。您可以使用模板创建具有精细权限的托管策略,然后将其附加到 IAM 实体。这样,您仅需授予用户或角色与特定使用案例中的 Amazon 资源进行交互所需的权限。要了解更多信息,请参阅“基于访问活动生成策略”。

向用户添加权限(控制台)

IAM 提供了三种方法来向用户添加权限策略:

  • 将用户添加到组 - 使用户成为一个组的成员。来自该组的策略将附加到用户。

  • 复制现有用户的权限 - 复制所有组成员资格、附加的托管策略、内联策略以及源用户的任何现有权限边界。

  • 直接为用户附加策略 - 直接为用户附加托管策略。作为最佳实践,我们建议您改为将策略附加到组,然后使用户成为相应的组的成员。

重要

如果用户具有权限边界,则您为用户添加的权限不能超过权限边界所允许的权限。

通过将用户添加到组来添加权限

将用户添加到组会立即影响用户。

通过将用户添加到组来向用户添加权限

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users

  3. 在控制台的 Groups 列中查看用户的当前组成员资格。如有必要,请通过完成以下步骤来将该列添加到用户表中:

    1. 在最右侧的表上方,选择设置符号 ( 
                    Settings icon
                  )。

    2. Manage Columns 对话框中,选择 Groups 列。(可选) 您还可以清除不希望在用户表中显示的任何列标题的复选框。

    3. 选择 Close 返回到用户列表。

    Groups 列指示用户所属的组。该列最多包含两个组的组名称。如果用户是三个或更多个组的成员,则只显示前两个组(按字母顺序排序),并且包含其他组成员资格的数量。例如,如果用户属于组 A、组 B、组 C 和组 D,则该字段包含值 Group A, Group B + 2 more。要查看用户所属组的总数,可以向用户表添加 Group count 列。

  4. 选择要修改其权限的用户的名称。

  5. 选择 Permissions 选项卡,然后选择 Add permissions。选择 Add user to group

  6. 选择您希望用户加入的每个组所对应的复选框。列表显示了每个组的名称以及用户在成为该组成员后获得的策略。

  7. (可选)除了从现有组中进行选择之外,您还可以选择 Create group 来定义新组。

    1. 在新选项卡中,对于组名,键入您的新组的名称。

      注意

      Amazon 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅 IAM 和 Amazon STS 配额。组名称可以是最多由 128 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您不能创建名为 TESTGROUPtestgroup 的两个组。

    2. 选中您要附加到组的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口;选择 Refresh,然后选择新策略以将其附加到您的组。有关更多信息,请参阅 创建 IAM 策略

    3. 选择创建组

    4. 返回到原始选项卡,刷新您的组列表。然后选中您的新组所对应的复选框。

  8. 选择 Next: Review 以查看要添加到用户的组成员资格的列表。然后选择 Add permissions

通过从其他用户复制来添加权限

复制权限会立即影响用户。

通过从其他用户复制权限来向用户添加权限

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中选择 Users,选择您要修改其权限的用户的名称,然后选择 Permissions 选项卡。

  3. 选择添加权限,然后选择从现有用户复制权限。列表显示了可用用户以及其组成员资格和附加的策略。如果组或策略的完整列表不能显示在一行中,您可以选择 and n more 链接。执行此操作将打开新的浏览器选项卡,可以查看策略 (Permissions 选项卡) 和组 (Groups 选项卡) 的完整列表。

  4. 选择您想要复制其权限的用户旁边的单选按钮。

  5. 选择 Next: Review 以查看要对用户所做的更改的列表。然后选择 Add permissions

通过直接将策略附加到用户来添加权限

附加策略会立即影响用户。

通过直接附加托管策略来向用户添加权限

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中选择 Users,选择您要修改其权限的用户的名称,然后选择 Permissions 选项卡。

  3. 选择添加权限,然后选择直接将现有策略附加到用户

  4. 选中您要附加到用户的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口。选择 Refresh (刷新),然后选中新策略对应的复选框以将该策略附加到您的用户。有关更多信息,请参阅 创建 IAM 策略

  5. 选择 Next: Review 以查看要附加到用户的策略的列表。然后选择 Add permissions

为用户设置权限边界

设置权限边界会立即影响用户。

为用户设置权限边界

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users

  3. 选择要更改其权限边界的用户的名称。

  4. 选择 Permissions(权限) 选项卡。如有必要,打开权限边界部分,然后选择设置边界

  5. 选择要用于权限边界的策略。

  6. 选择设置边界

更改用户的权限(控制台)

IAM 允许您通过以下方式更改与用户关联的权限:

  • 编辑权限策略 - 编辑用户的内联策略、用户的组的内联策略,或编辑直接附加到用户或从组附加到用户的托管策略。如果用户具有权限边界,则您提供的权限不能超过用作用户的权限边界的策略所允许的权限。

  • 更改权限边界 - 更改用作用户的权限边界的策略。这可以扩大或限制用户可以具有的最大权限。

编辑附加到用户的权限策略

更改权限会立即影响用户。

编辑用户的已附加托管策略

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users

  3. 选择要更改其权限策略的用户的名称。

  4. 选择 Permissions(权限) 选项卡。如有必要,打开权限策略部分。

  5. 选择要编辑的策略的名称以查看有关该策略的详细信息。选择用作选项卡以查看您编辑策略可能会影响到的其他实体。

  6. 选择权限选项卡并查看策略授予的权限。然后选择编辑策略

  7. 使用 Visual editor(可视化编辑器)选项卡或 JSON 选项卡并解决任何策略验证建议。有关更多信息,请参阅 编辑 IAM 策略

  8. 选择查看策略,查看策略摘要,然后选择保存更改

更改用户的权限边界

更改权限边界会立即影响用户。

更改用于设置用户的权限边界的策略

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users

  3. 选择要更改其权限边界的用户的名称。

  4. 选择 Permissions(权限) 选项卡。如有必要,打开权限边界部分,然后选择更改边界

  5. 选择要用于权限边界的策略。

  6. 选择更改边界

从用户删除权限策略(控制台)

删除策略会立即影响用户。

撤消 IAM 用户的权限

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users

  3. 选择要删除其权限边界的用户的名称。

  4. 选择 Permissions(权限) 选项卡。

  5. 如果要通过移除现有策略来撤消权限,请查看 Policy type(策略类型)来了解用户如何获取该策略,然后再选择 X 以移除策略:

    • 如果该策略因组成员资格而适用,则选择 X 可从组中删除该用户。请记住,可向单个组中附加多个策略。如果您从组中删除某个用户,该用户将失去对其通过组成员资格接收的所有 策略的访问权限。

    • 如果策略是直接附加到该用户的托管策略,则选择 X 可分离该用户和该策略。这不会影响该策略本身或该策略可能附加到的任何其他实体。

    • 如果该策略是内联嵌入式策略,则选择 X 可从 IAM 中删除该策略。直接附加到用户的内联策略只能在该用户中存在。

从用户删除权限边界(控制台)

删除权限边界会立即影响用户。

从用户删除权限边界

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users

  3. 选择要删除其权限边界的用户的名称。

  4. 选择 Permissions(权限) 选项卡。如有必要,打开权限边界部分,然后选择删除边界

  5. 选择删除以确认您要删除权限边界。

添加和删除用户的权限(Amazon CLI 或 Amazon API)

要以编程方式添加或删除权限,您必须添加组成员资格、附加或分离托管策略或者添加或删除内联策略。有关更多信息,请参阅以下主题: