AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

在您的 AWS 账户中创建 IAM 用户

可以在您的 AWS 账户中创建一个或多个 IAM 用户。当有人加入您的组织时,或有新应用程序需要对 AWS 进行 API 调用时,您可能需要创建 IAM 用户。

重要

如果您已位于此页面,并尝试为您的应用程序或网站启用 Amazon Advertising,请参阅成为产品广告 API 开发人员

如果您是从 IAM 控制台到达该页面的,您的账户可能不包含 IAM 用户 (即使您已登录)。能够使用角色以 AWS 账户根用户 身份登录,也可以使用临时凭证登录。要了解有关这些 IAM 身份的更多信息,请参阅身份 (用户、组和角色)

简而言之,创建用户并使其可用于工作任务的过程包含以下这些步骤:

  1. 在 AWS 管理控制台中或使用 AWS CLI、Windows PowerShell 工具 或 IAM API 命令创建用户。如果您在 AWS 管理控制台中创建用户,则将自动处理步骤 1 到步骤 4。如果您以编程方式创建用户,则必须分别执行上述每个步骤。

  2. 根据用户所需的访问类型为用户创建凭证:

    • 编程访问:IAM 用户可能需要进行 API 调用,或使用 AWS CLI 或 Windows PowerShell 工具。对于这种情况,请为该用户创建访问密钥 (访问密钥 ID 和秘密访问密钥)。

      AWS 管理控制台访问:如果用户需要通过 AWS 管理控制台访问 AWS 资源,则为用户创建密码

    作为最佳实践,请勿为将从不需要某种特定类型的访问的用户创建该类型的凭证。例如,对于仅需要通过 AWS 管理控制台进行访问的用户,请勿创建访问密钥。

  3. 通过将用户添加到一个或多个组,向用户提供执行所需任务的权限。您可以通过将 IAM 权限策略直接附加到用户来授予权限。但是,我们建议您将用户放入组内并通过附加到这些组的策略来管理权限。

  4. 向用户提供必要的登录信息。这包括密码以及用户在其中输入这些凭证的账户登录网页的 URL。有关更多信息,请参阅 IAM 用户如何登录到 AWS

  5. (可选) 为用户配置多重验证 (MFA)。MFA 要求用户在每次登录 AWS 管理控制台时都提供一次性的代码。

  6. (可选) 向用户授予管理其自己的安全凭证所需的权限。(默认状态下,用户没有许可管理自己的证书。)有关更多信息,请参阅 允许 IAM 用户更改自己的密码

有关创建用户时需要的权限的信息,请参阅访问 IAM 资源所需的权限

创建 IAM 用户(控制台)

通过 AWS 管理控制台创建一个或多个 IAM 用户

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users,然后选择 Add user

  3. 为新用户键入用户名。这是 AWS 的登录名。如果您要同时添加多个用户,请为每个其他用户选择 Add another user 并键入其用户名。您一次最多可以添加 10 个用户。

    注意

    用户名可以是一个最多由 64 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您不能创建名为 TESTUSERtestuser 的两个用户。有关 IAM 实体限制条件的更多信息,请参阅 IAM 实体和对象的限制

  4. 选择此组用户将拥有的访问权限的类型。您可以选择以编程方式访问、访问 AWS 管理控制台,或者同时选择这二者。

    • 如果用户需要访问 API、AWS CLI 或 Windows PowerShell 工具,请选择 Programmatic access。这会为每个新用户创建访问密钥。您可以在转到 Final 页面后查看或下载访问密钥。

       

    • 如果用户需要访问 AWS 管理控制台,请选择 AWS 管理控制台 access。这会为每个新用户创建密码。

       

      1. 对于 Console password type,选择以下任一项:

         

        • 自动生成的密码。每个用户将获得一个随机生成的密码,该密码符合当前生效的密码策略 (如果有)。在转到完成页面后,您可以查看或下载密码。

           

        • 自定义密码。向每个用户分配您在框内键入的密码。

           

      2. (可选)我们建议您选择 Require password reset 以确保用户在首次登录时必须更改其密码。

        注意

        如果您尚未 启用整个账户的密码策略设置 Allow users to change their own password,则选择 Require password reset 会将名为 IAMUserChangePassword 的 AWS 托管策略自动附加到新用户,授予他们更改自己的密码的权限。

  5. 选择 Next: Permissions

  6. Set permissions 页面上,指定您要向这组新用户分配权限的方式。选择下列三个选项之一:

    • 将用户添加到组。如果您拥有具有已创建的适当的权限策略的组并想要向这些组分配用户,请选择此项。IAM 将显示所有当前已定义的组以及其附加的策略的列表。您可以选择一个或多个现有组,或者选择 Create group 来创建新组。有关更多信息,请参阅 更改 IAM 用户的权限

    • 从现有用户复制权限。选择此选项可从现有用户将所有组成员资格、附加的托管策略和嵌入式内联策略复制到新用户。IAM 将显示当前定义的用户的列表。选择其权限与新用户的需求最为匹配的一个用户。每个新用户均可获得与所选用户相同的组成员资格和附加的策略。

    • 直接将现有策略附加到用户 选择此选项可从现有托管策略中选择要附加到新用户的托管策略,或者创建新的要附加到新用户的托管策略。IAM 将显示当前定义的托管策略 (AWS 定义的和客户定义的) 的列表。选择您要附加到新用户的策略或选择 Create policy 以从头开始创建新策略。有关更多信息,请参阅过程创建 IAM 策略 (控制台)中的步骤 4。

  7. 选择 Next: Review 以查看您此时已做出的所有选择。如果您已准备好继续,请选择 Create user

  8. 要查看用户的访问密钥(访问密钥 ID 和秘密访问密钥),请选择您要查看的每个密码和秘密访问密钥旁边的 Show。要保存访问密钥,请选择 Download .csv,然后将文件保存到安全位置。

    重要

    这是您查看或下载秘密访问密钥的唯一机会,您必须向用户提供此信息,他们才能使用 AWS API。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些私有密钥。

  9. 为每个用户提供各自的凭证。在最后的页面上,您可以选择每个用户旁边的 Send email。您的本地邮件客户端将打开并显示一份草稿,您可以对草稿进行自定义并发送。电子邮件模板包括每个用户的以下详细信息:

    • 用户名称

       

    • 账户登录网页的 URL。使用以下示例,换入正确的账户 ID 号或账户别名:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    有关更多信息,请参阅 IAM 用户如何登录到 AWS

    重要

    用户的密码 包括在生成的电子邮件中。您必须以符合您组织的安全准则的方式向客户提供密码。

  10. (可选) 向用户授予管理自己的安全凭证的权限。有关更多信息,请参阅 允许用户管理自己的密码、访问密钥和 SSH 密钥

创建 IAM 用户(AWS CLI、IAM 或 Windows PowerShell 工具 HTTP API)

要从 AWS CLI、Windows PowerShell 工具 或 IAM HTTP API 创建 IAM

  1. 创建用户。

  2. (可选)向用户提供对 AWS 管理控制台的访问权限。这需要密码。您必须还向用户提供您的账户登录页的 URL。

  3. (可选)向用户提供编程访问。这需要访问密钥。

    • AWS CLI:aws iam create-access-key

    • Windows PowerShell 工具:New-IAMAccessKey

    • IAM API:CreateAccessKey

      重要

      这是您查看或下载秘密访问密钥的唯一机会,您必须向用户提供此信息,他们才能使用 AWS API。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些私有密钥。

  4. 将该用户添加到一个或多个组。您指定的组应具有用于向用户授予适当的权限的附加策略。

  5. (可选) 向用户附加策略:附加定义该用户权限的策略。注意:建议您通过将用户添加到一个组并向该组附加策略(而不是直接向用户附加策略)来管理用户权限。

  6. (可选)向用户授予用于管理其自身的安全凭证的权限。有关更多信息,请参阅 允许用户管理自己的密码、访问密钥和 SSH 密钥