更改 IAM 用户的权限 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

更改 IAM 用户的权限

您可以更改您 Amazon Web Services 账户 中的 IAM 用户的权限,方法是更改用户的组成员资格、复制现有用户的权限、直接为用户附加策略或设置权限边界。权限边界控制用户可以具有的最大权限。权限边界是一项高级 Amazon 功能。

有关您修改用户的权限所需的权限的信息,请参阅访问 IAM 资源所需的权限

查看用户访问

在更改用户的权限之前,您应查看其最近的服务级别活动。这非常重要,因为您不想删除使用它的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅使用上次访问的信息优化 Amazon 中的权限

基于用户的访问活动生成策略

有时,您可能会向 IAM 实体(用户或角色)授予超出其需要的权限。为帮助您优化授予的权限,您可以根据实体的访问活动生成 IAM policy。IAM 访问分析器会查看您的 Amazon CloudTrail 日志并生成一个策略模板,其中包含实体在指定日期范围内使用的权限。您可以使用模板创建具有精细权限的托管策略,然后将其附加到 IAM 实体。这样,您仅需授予用户或角色与特定使用案例中的 Amazon 资源进行交互所需的权限。要了解更多信息,请参阅 基于访问活动生成策略

向用户添加权限(控制台)

IAM 提供了三种方法来向用户添加权限策略:

  • 将用户添加到组 - 使用户成为一个组的成员。来自该组的策略将附加到用户。

  • 复制现有用户的权限 - 复制所有组成员资格、附加的托管策略、内联策略以及源用户的任何现有权限边界。

  • 直接为用户附加策略 - 直接为用户附加托管策略。为方便管理权限,请将策略附加到组,然后使用户成为相应组的成员。

重要

如果用户具有权限边界,则您为用户添加的权限不能超过权限边界所允许的权限。

通过将用户添加到组来添加权限

将用户添加到组会立即影响用户。

通过将用户添加到组来向用户添加权限
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 在控制台的 Groups 列中查看用户的当前组成员资格。如有必要,请通过完成以下步骤来将该列添加到用户表中:

    1. 在最右侧的表上方,选择设置符号 ( 
                    Settings icon
                  )。

    2. Manage Columns 对话框中,选择 Groups 列。(可选) 您还可以清除不希望在用户表中显示的任何列标题的复选框。

    3. 选择 Close 返回到用户列表。

    Groups 列指示用户所属的组。该列最多包含两个组的组名称。如果用户是三个或更多个组的成员,则只显示前两个组(按字母顺序排序),并且包含其他组成员资格的数量。例如,如果用户属于组 A、组 B、组 C 和组 D,则该字段包含值 Group A, Group B + 2 more。要查看用户所属组的总数,可以向用户表添加 Group count 列。

  4. 请选择要修改其权限的用户的名称。

  5. 请选择 Permissions 选项卡,然后选择 Add permissions。选择 Add user to group

  6. 选择您希望用户加入的每个组所对应的复选框。列表显示了每个组的名称以及用户在成为该组成员后获得的策略。

  7. (可选)除了从现有组中进行选择之外,您还可以选择 Create group 来定义新组。

    1. 在新选项卡中,对于用户组名,键入您的新组名称。

      注意

      Amazon 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅IAM 和 Amazon STS 配额。组名称可以是最多由 128 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您不能创建名为 TESTGROUPtestgroup 的两个组。

    2. 选中您要附加到组的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口;选择 Refresh,然后选择新策略以将其附加到您的组。有关更多信息,请参阅创建 IAM policy

    3. 选择创建用户组

    4. 返回到原始选项卡,刷新您的组列表。然后选中您的新组所对应的复选框。

  8. 选择下一步,以查看要添加到用户的组成员资格列表。然后选择 Add permissions

通过从其他用户复制来添加权限

复制权限会立即影响用户。

通过从其他用户复制权限来向用户添加权限
  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中选择 Users,选择您要修改其权限的用户的名称,然后选择 Permissions 选项卡。

  3. 选择添加权限,然后选择从现有用户复制权限。列表显示了可用用户以及其组成员资格和附加的策略。如果组或策略的完整列表不能显示在一行中,您可以选择 and n more 链接。执行此操作将打开新的浏览器选项卡,可以查看策略 (Permissions 选项卡) 和组 (Groups 选项卡) 的完整列表。

  4. 选择您想要复制其权限的用户旁边的单选按钮。

  5. 选择下一步,以查看要对用户所做的更改列表。然后选择 Add permissions

通过直接将策略附加到用户来添加权限

附加策略会立即影响用户。

通过直接附加托管策略来向用户添加权限
  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中选择 Users,选择您要修改其权限的用户的名称,然后选择 Permissions 选项卡。

  3. 选择添加权限,然后选择直接附加现有策略

  4. 选中您要附加到用户的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口。选择 Refresh (刷新),然后选中新策略对应的复选框以将该策略附加到您的用户。有关更多信息,请参阅创建 IAM policy

  5. 选择下一步,以查看要附加到用户的策略列表。然后选择 Add permissions

为用户设置权限边界

设置权限边界会立即影响用户。

为用户设置权限边界
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 请选择要更改其权限边界的用户的名称。

  4. 选择 Permissions 选项卡。如有必要,打开权限边界部分,然后选择设置权限边界

  5. 选择要用于权限边界的策略。

  6. 选择设置边界

更改用户的权限(控制台)

IAM 允许您通过以下方式更改与用户关联的权限:

  • 编辑权限策略 - 编辑用户的内联策略、用户的组的内联策略,或编辑直接附加到用户或从组附加到用户的托管策略。如果用户具有权限边界,则您提供的权限不能超过用作用户的权限边界的策略所允许的权限。

  • 更改权限边界 - 更改用作用户的权限边界的策略。这可以扩大或限制用户可以具有的最大权限。

编辑附加到用户的权限策略

更改权限会立即影响用户。

编辑用户的已附加托管策略
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 请选择要更改其权限策略的用户的名称。

  4. 选择 Permissions 选项卡。如有必要,打开权限策略部分。

  5. 请选择要编辑的策略的名称以查看有关该策略的详细信息。请选择策略使用选项卡以查看您编辑策略可能会影响到的其他实体。

  6. 请选择权限选项卡并查看策略授予的权限。然后选择编辑策略

  7. 编辑该策略并解决任何策略验证建议。有关更多信息,请参阅编辑 IAM policy

  8. 选择查看策略,查看策略摘要,然后选择保存更改

更改用户的权限边界

更改权限边界会立即影响用户。

更改用于设置用户的权限边界的策略
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 请选择要更改其权限边界的用户的名称。

  4. 选择 Permissions 选项卡。如有必要,打开权限边界部分,然后选择更改边界

  5. 选择要用于权限边界的策略。

  6. 选择设置边界

从用户删除权限策略(控制台)

删除策略会立即影响用户。

撤消 IAM 用户权限
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 请选择要删除其权限边界的用户的名称。

  4. 请选择 Permissions 选项卡。

  5. 如果要通过移除现有策略来撤消权限,请查看类型来了解用户如何获取该策略,然后再选择删除以删除策略:

    • 如果该策略因组成员资格而适用,则选择删除,从组中删除该用户。请记住,可向单个组中附加多个策略。如果您从组中删除某个用户,该用户将失去对其通过组成员资格接收的所有 策略的访问权限。

    • 如果该策略是直接附加到该用户的托管策略,则选择删除,从该用户中分离该策略。这不会影响该策略本身或该策略可能附加到的任何其他实体。

    • 如果该策略是内联嵌入式策略,则选择 X 可从 IAM 中删除该策略。直接附加到用户的内联策略只能在该用户中存在。

从用户删除权限边界(控制台)

删除权限边界会立即影响用户。

从用户删除权限边界
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 请选择要删除其权限边界的用户的名称。

  4. 请选择 Permissions 选项卡。如有必要,打开权限边界部分,然后选择删除边界

  5. 选择删除边界,以确认您要删除权限边界。

添加和删除用户的权限(Amazon CLI 或 Amazon API)

要以编程方式添加或删除权限,您必须添加组成员资格、附加或分离托管策略或者添加或删除内联策略。有关更多信息,请参阅以下主题: