更改 IAM 用户的权限 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

更改 IAM 用户的权限

您可以更改您 Amazon Web Services 账户 中的 IAM 用户的权限,方法是更改用户的组成员资格、复制现有用户的权限、直接为用户附加策略或设置权限边界。权限边界控制用户可以具有的最大权限。权限边界是一项高级 Amazon 功能。

有关您修改用户的权限所需的权限的信息,请参阅访问 IAM 资源所需的权限

查看用户访问

在更改用户的权限之前,您应查看其最近的服务级别活动。这非常重要,因为您不想删除使用它的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅 使用上次访问的信息优化 Amazon 中的权限

基于用户的访问活动生成策略

有时,您可能会向 IAM 实体(用户或角色)授予超出其需要的权限。为帮助您优化授予的权限,您可以根据实体的访问活动生成 IAM policy。IAM 访问分析器会查看您的 Amazon CloudTrail 日志并生成一个策略模板,其中包含实体在指定日期范围内使用的权限。您可以使用模板创建具有精细权限的托管策略,然后将其附加到 IAM 实体。这样,您仅需授予用户或角色与特定使用案例中的 Amazon 资源进行交互所需的权限。要了解更多信息,请参阅 IAM Acess Analyzer 策略生成

向用户添加权限(控制台)

IAM 提供了三种方法来向用户添加权限策略:

  • 将 IAM 用户添加到组 - 使用户成为一个组的成员。来自该组的策略将附加到用户。

  • 复制现有 IAM 用户的权限 - 复制所有组成员资格、附加的托管策略、内联策略以及源用户的任何现有权限边界。

  • 直接为 IAM 用户附加策略 - 直接为用户附加托管策略。为方便管理权限,请将策略附加到组,然后让 IAM 用户成为相应组的成员。

重要

如果用户具有权限边界,则您为用户添加的权限不能超过权限边界所允许的权限。

要通过将用户添加到组来添加权限

将 IAM 用户添加到 IAM 组后,该用户的权限会立即更新为该组所定义的权限。

IAM console
  1. 按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。

  2. Console Home(控制台主页)页面,选择 IAM 服务。

  3. 在导航窗格中,选择 Users(用户)。

  4. Users(用户)列表中,选择 IAM 用户的名称。

  5. 选择 Groups(群组)选项卡,以显示包含当前用户的群组的列表。

  6. 选择 Add user to groups(将用户添加到群组)。

  7. 选择您希望用户加入的每个组所对应的复选框。列表显示了每个组的名称以及用户在成为该组成员后获得的策略。

  8. (可选)您可以选择 Create group(创建群组)来定义新的群组。如果您想将用户添加到与现有群组具有不同附加策略的群组中,这将非常有用:

    1. 在新选项卡中,对于 User group name(用户组名),键入您的新组名称。

      注意

      Amazon 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅 IAM 和 Amazon STS 配额。组名称可以是最多由 128 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您不能创建名为 TESTGROUPtestgroup 的两个组。

    2. 选中您要附加到组的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口;选择 Refresh,然后选择新策略以将其附加到您的组。有关更多信息,请参阅 使用客户管理型策略定义自定义 IAM 权限

    3. 选择创建用户组

    4. 返回到原始选项卡,刷新您的组列表。然后选中您的新组所对应的复选框。

  9. 选择 Add user to group(s)(将用户添加到群组)。

控制台会显示一条状态消息,通知您用户已添加到您指定的群组中。

要通过从其他 IAM 用户复制来添加权限

如果您选择通过复制权限来为 IAM 用户添加权限,那么 IAM 会复制指定用户的所有组成员资格、附加托管策略、内联策略和任何现有权限边界,并立即将其应用到当前选定的用户。

IAM console
  1. 按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。

  2. Console Home(控制台主页)页面,选择 IAM 服务。

  3. 在导航窗格中,选择 Users(用户)。

  4. Users(用户)列表中,选择 IAM 用户的名称。

  5. Permissions(权限)选项卡中,选择 Add permissions(添加权限)。

  6. Add permissions(添加权限)页面上,选择 Copy permissions(复制权限)。列表显示了可用 IAM 用户以及其组成员资格和附加的策略。

  7. 选择您想要复制其权限的用户旁边的单选按钮。

  8. 选择 Next(下一步),以查看要对用户所做的更改列表。然后选择 Add permissions(添加权限)。

控制台会显示一条状态消息,通知您权限已从您指定的 IAM 用户那里复制。

要通过直接将策略附加到 IAM 用户来添加权限

您可以直接将托管策略附加到 IAM 用户。更新后的权限会立即应用。

IAM console
  1. 按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。

  2. Console Home(控制台主页)页面,选择 IAM 服务。

  3. 在导航窗格中,选择 Users(用户)。

  4. Users(用户)列表中,选择 IAM 用户的名称。

  5. Permissions(权限)选项卡中,选择 Add permissions(添加权限)。

  6. Add permissions(添加权限)页面上,选择 Attach policies directly(直接附加策略)。Permissions policies(权限策略)列表显示可用策略及其策略类型和附加实体。

  7. 选择要附加的 Policy name(策略名称)旁边的单选按钮。

  8. 选择 Next(下一步),以查看要对用户所做的更改列表。然后选择 Add permissions(添加权限)。

控制台会显示一条状态消息,通知您已将策略添加到指定的 IAM 用户。

要为 IAM 用户设置权限边界

权限边界是 Amazon 中管理权限的高级功能,用于设置 IAM 用户可拥有的最大权限。设置权限边界会立即将 IAM 用户的权限限制在边界内,而与授予的其他权限无关。

IAM console
  1. 按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。

  2. Console Home(控制台主页)页面,选择 IAM 服务。

  3. 在导航窗格中,选择 Users(用户)。

  4. Users(用户)列表中,选择要更改其权限边界的 IAM 用户的名称。

  5. 选择 Permissions(权限)选项卡。如有必要,打开 Permissions boundary (权限边界)部分,然后选择 Set permissions boundary(设置权限边界)。

  6. Set permissions boundary(设置权限边界)页面中的 Permissions policies(权限策略)下,选择您要用于权限边界的策略。

  7. 选择 Set boundary(设置边界)。

控制台会显示一条状态消息,通知您权限边界已添加。

更改用户的权限(控制台)

IAM 允许您通过以下方式更改与用户关联的权限:

  • 编辑权限策略 - 编辑用户的内联策略、用户的组的内联策略,或编辑直接附加到用户或从组附加到用户的托管策略。如果用户具有权限边界,则您提供的权限不能超过用作用户的权限边界的策略所允许的权限。

  • 更改权限边界 - 更改用作用户的权限边界的策略。这可以扩大或限制用户可以具有的最大权限。

编辑附加到用户的权限策略

更改权限会立即更新用户的访问权限。

IAM console
  1. 按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。

  2. Console Home(控制台主页)页面,选择 IAM 服务。

  3. 在导航窗格中,选择 Users(用户)。

  4. Users(用户)列表中,选择要更改其权限边界的 IAM 用户的名称。

  5. 选择 Permissions(权限)选项卡。如有必要,打开 Permissions boundary(权限边界)部分。

  6. 请选择要编辑的策略的名称以查看有关该策略的详细信息。选择 Entities attached(附加的实体)选项卡,查看编辑策略后可能受影响的其他实体(IAM 用户、组和角色)。

  7. 选择 Permissions(权限)选项卡并查看策略授予的权限。要更改权限,请选择 Edit(编辑)。

  8. 编辑该策略并解决任何策略验证建议。有关更多信息,请参阅 编辑 IAM 策略

  9. 选择 Next(下一步),查看策略摘要,然后选择 Save changes(保存更改)。

控制台会显示一条状态消息,通知您策略已更新。

要为用户更改权限边界

更改权限边界会立即更新用户的访问权限。

IAM console
  1. 按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。

  2. Console Home(控制台主页)页面,选择 IAM 服务。

  3. 在导航窗格中,选择 Users(用户)。

  4. Users(用户)列表中,选择要更改其权限边界的 IAM 用户的名称。

  5. 选择 Permissions(权限)选项卡。如有必要,打开 Permissions boundary(权限边界)部分,然后选择 Change boundary(更改边界)。

  6. 选择要用于权限边界的策略。

  7. 选择 Set boundary(设置边界)。

控制台会显示一条状态消息,通知您权限边界已更改。

要从用户删除权限策略(控制台)

删除权限策略会立即更新用户的访问权限。

IAM console
  1. 按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。

  2. Console Home(控制台主页)页面,选择 IAM 服务。

  3. 在导航窗格中,选择 Users(用户)。

  4. 选择要删除其权限策略的用户的名称。

  5. 选择 Permissions(权限)选项卡。

  6. 如果要通过移除现有策略来撤消权限,请查看 Attached via(附加方式)来了解用户如何获取该策略,然后再选择 Remove(删除)以删除策略:

    • 如果该策略因组成员资格而适用,则选择 Remove(删除),从组中删除该用户。请记住,可向单个组中附加多个策略。如果您从组中删除某个用户,该用户将失去对其通过组成员资格接收的所有策略的访问权限。

    • 如果该策略是直接附加到该用户的托管策略,则选择删除,从该用户中分离该策略。这不会影响该策略本身或该策略可能附加到的任何其他实体。

    • 如果该策略是内联嵌入式策略,则选择 Remove(删除),从 IAM 中删除该策略。直接附加到用户的内联策略只能在该用户中存在。

如果策略是通过组成员资格授予用户的,则控制台会显示一条状态消息,通知您该 IAM 用户已从 IAM 组移除。如果策略是直接附加或内联的,则状态消息会通知您该策略已被删除。

要从用户删除权限边界(控制台)

删除权限边界会立即更新用户的访问权限。

IAM console
  1. 按照 Amazon 登录用户指南中的如何登录 Amazon所述,根据用户类型选择相应的登录过程。

  2. Console Home(控制台主页)页面,选择 IAM 服务。

  3. 在导航窗格中,选择 Users(用户)。

  4. Users(用户)列表中,选择要删除其权限边界的 IAM 用户的名称。

  5. 选择 Permissions(权限)选项卡。如有必要,打开 Permissions boundary(权限边界)部分。

  6. 选择 Change boundary(更改边界)。要确认要删除权限边界,请在确认对话框中选择 Remove boundary(删除边界)。

控制台会显示一条状态消息,通知您权限边界已删除。

添加和删除用户的权限(Amazon CLI 或 Amazon API)

要以编程方式添加或删除权限,您必须添加组成员资格、附加或分离托管策略或者添加或删除内联策略。有关更多信息,请参阅以下主题: