在您的 Amazon 账户中创建 IAM 用户 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

在您的 Amazon 账户中创建 IAM 用户

可以在您的 Amazon 账户中创建一个或多个 IAM 用户。当有人加入您的团队时,或创建需要对 Amazon 进行 API 调用的新应用程序时,您可能会创建 IAM 用户。

重要

如果您发现此页面是因为您正在寻找有关 Product Advertising API 的信息以在您的网站上销售亚马逊产品,请参阅 Product Advertising API 5.0 文档

如果您是从 IAM 控制台到达该页面的,您的账户可能不包含 IAM 用户(即使您已登录)。能够使用角色以 Amazon Web Services 账户 根用户身份登录,也可以使用临时凭证登录。要了解有关这些 IAM 身份的更多信息,请参阅IAM 身份(用户、用户组和角色)

创建用户并使该用户能够执行工作任务的过程包含以下步骤:

  1. 在 Amazon Web Services Management Console、Amazon CLI、Tools for Windows PowerShell中或使用 Amazon API 操作创建用户。如果您在 Amazon Web Services Management Console中创建用户,则将根据您的选择自动处理步骤 1–4。如果您以编程方式创建用户,则必须分别执行上述每个步骤。

  2. 根据用户所需的访问类型为用户创建凭证:

    • 编程访问:IAM 用户可能需要进行 API 调用、使用 Amazon CLI 或使用Tools for Windows PowerShell。对于这种情况,请为该用户创建访问密钥(访问密钥 ID 和秘密访问密钥)。

    • Amazon Web Services Management Console访问:如果用户需要访问 Amazon Web Services Management Console,请为用户创建密码。禁用用户的控制台访问权限会阻止用户使用其用户名和密码登录到 Amazon Web Services Management Console。它不会更改他们的权限,也不会阻止他们使用代入角色访问控制台。

    作为最佳实践,请仅创建用户需要的凭证。例如,对于仅需要通过 Amazon Web Services Management Console进行访问的用户,请勿创建访问密钥。

  3. 通过将用户添加到一个或多个组,向用户提供执行所需任务的权限。您还可以通过将权限策略直接附加到用户来授予权限。但是,我们建议您将用户放入组内并通过附加到这些组的策略来管理权限。您还可以使用权限边界来限制用户可以具有的权限,但这不常用。

  4. (可选)通过附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅标记 IAM 资源

  5. 向用户提供必要的登录信息。信息包括密码以及用户在其中提供这些凭证的账户登录页面的控制台 URL。有关更多信息,请参阅 IAM 用户如何登录到 Amazon

  6. (可选) 为用户配置多重验证 (MFA)。MFA 要求用户在每次登录 Amazon Web Services Management Console时都提供一次性的代码。

  7. (可选) 向用户授予管理其自己的安全凭证所需的权限。(默认状态下,用户没有权限管理自己的凭证。) 有关更多信息,请参阅 允许 IAM 用户更改自己的密码

有关创建用户时需要的权限的信息,请参阅访问 IAM 资源所需的权限

创建 IAM 用户(控制台)

您可以使用 Amazon Web Services Management Console创建 IAM 用户。

创建一个或多个 IAM 用户(控制台)

  1. 登录 Amazon Web Services Management Console 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择用户,然后选择添加用户

  3. 为新用户键入用户名。这是 Amazon 的登录名。如果您要添加多个用户,请为每个其他用户选择添加另一个用户并键入其用户名。您一次最多可以添加 10 个用户。

    注意

    Amazon 账户中 IAM 资源的数量和大小受到限制。有关更多信息,请参阅IAM 和 Amazon STS 配额。 用户名可以是一个最多由 64 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您不能创建名为 TESTUSERtestuser 的两个用户。

  4. 选择此组用户将拥有的访问权限类型。您可以选择以编程方式访问、访问 Amazon Web Services Management Console,或者同时选择这二者。

    • 如果用户需要访问 API、Amazon CLI 或 Tools for Windows PowerShell,请选择 Programmatic access (编程访问)。这会为每个新用户创建访问密钥。您可以在转到 Final 页面后查看或下载访问密钥。

    • 如果用户需要访问 Amazon Web Services Management Console,请选择 Amazon Web Services Management Console access (Amazon 管理控制台访问)。这会为每个新用户创建密码。

    1. 对于 Console password (控制台密码),请选择下列项目之一:

      • 自动生成的密码。每个用户将获得一个随机生成的密码,该密码符合账户密码策略。在转到完成页面后,您可以查看或下载密码。

      • 自定义密码。向每个用户分配您在框内键入的密码。

    2. (可选)我们建议您选择 Require password reset (需要密码重置) 以确保用户在首次登录时必须更改其密码。

      注意

      如果管理员启用了 允许用户更改自己的密码账户密码策略设置,则此复选框不执行任何操作。否则,它会自动将名为 IAMUserChangePassword 的 Amazon 托管策略附加到新用户。该策略授予他们更改其自身的密码的权限。

  5. 选择 Next: Permissions (下一步:权限)

  6. Set permissions 页面上,指定您要向这组新用户分配权限的方式。选择下列三个选项之一:

    • 将用户添加到组。如果您希望将用户分配到已具有权限策略的一个或多个组,请选择此选项。IAM 将显示您账户中的组及其附加的策略的列表。您可以选择一个或多个现有组,或者选择 Create group 来创建新组。有关更多信息,请参阅更改 IAM 用户的权限

    • 从现有用户复制权限。选择此选项可将现有用户的所有组成员资格、附加的托管策略、嵌入式内联策略以及任何现有的权限边界都复制给新用户。IAM 将显示您账户中的用户列表。选择其权限与新用户的需求最为匹配的一个用户。

    • 直接附加现有策略。选择此选项可查看您的账户中的 Amazon 托管策略和客户托管策略的列表。选择您要附加到新用户的策略或选择创建策略,以打开新的浏览器选项卡并从头开始创建新策略。有关更多信息,请参阅过程创建 IAM 策略中的步骤 4。在您创建策略后,关闭该选项卡并返回到您的原始选项卡,以将策略添加到新用户。作为最佳实践,我们建议您改为将策略附加到组,然后使用户成为相应的组的成员。

  7. (可选)设置权限边界。这是一项高级功能。

    打开 Set permissions boundary (设置权限边界) 部分,然后选择 Use a permissions boundary to control the maximum user permissions (使用权限边界最大用户权限)。IAM 将显示您的账户中的 Amazon 托管和客户托管策略的列表。选择要用于权限边界的策略,或选择创建策略以打开新的浏览器选项卡并从头开始创建新策略。有关更多信息,请参阅过程创建 IAM 策略中的步骤 4。在您创建策略后,关闭该选项卡并返回到您的原始选项卡,以选择要用于权限边界的策略。

  8. 选择下一步: 标签

  9. (可选)通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅标记 IAM 资源

  10. 选择 Next: Review 以查看您此时已做出的所有选择。如果您已准备好继续,请选择 Create user

  11. 要查看用户的访问密钥(访问密钥 ID 和秘密访问密钥),请选择您要查看的每个密码和访问密钥旁边的显示。要保存访问密钥,请选择下载 .csv,然后将文件保存到安全位置。

    重要

    这是您查看或下载秘密访问密钥的唯一机会,您必须向用户提供此信息,他们才能使用 Amazon API。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些秘密访问密钥。

  12. 为每个用户提供各自的凭证。在最后的页面上,您可以选择每个用户旁边的 Send email。您的本地邮件客户端将打开并显示一份草稿,您可以对草稿进行自定义并发送。电子邮件模板包括每个用户的以下详细信息:

    • 用户名称

    • 账户登录页面的 URL。使用以下示例,换入正确的账户 ID 号或账户别名:

      https://Amazon-account-ID or alias.signin.amazonaws.cn/console

    有关更多信息,请参阅IAM 用户如何登录到 Amazon

    重要

    用户的密码 包括在生成的电子邮件中。您必须以符合您组织的安全准则的方式向客户提供密码。

创建 IAM 用户 (Amazon CLI)

您可以使用 Amazon CLI 创建 IAM 用户。

创建 IAM 用户 (Amazon CLI)

  1. 创建用户。

  2. (可选)向用户提供对 Amazon Web Services Management Console的访问权限。这需要密码。您必须还向用户提供您的账户登录页的 URL。

  3. (可选)向用户提供编程访问。这需要访问密钥。

    • aws iam create-access-key

    • Tools for Windows PowerShell:New-IAMAccessKey

    • IAM API:CreateAccessKey

      重要

      这是您查看或下载秘密访问密钥的唯一机会,您必须向用户提供此信息,他们才能使用 Amazon API。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些秘密访问密钥。

  4. 将该用户添加到一个或多个组。您指定的组应具有用于向用户授予适当的权限的附加策略。

  5. (可选)向用户附加策略,此策略用于定义该用户的权限。注意:建议您通过将用户添加到一个组并向该组附加策略(而不是直接向用户附加策略)来管理用户权限。

  6. (可选)通过附加标签来向用户添加自定义属性。有关更多信息,请参阅 管理 IAM 用户(Amazon CLI 或 Amazon API)的标签

  7. (可选)为用户授予权限以管理自己的安全凭证。有关更多信息,请参阅 Amazon:允许经过 MFA 身份验证的 IAM 用户在“我的安全凭证”页面上管理自己的凭证

创建 IAM 用户 (Amazon API)

您可以使用 Amazon API 创建 IAM 用户。

从 (Amazon API) 创建 IAM 用户

  1. 创建用户。

  2. (可选)向用户提供对 Amazon Web Services Management Console的访问权限。这需要密码。您必须还向用户提供您的账户登录页的 URL。

  3. (可选)向用户提供编程访问。这需要访问密钥。

    • CreateAccessKey

      重要

      这是您查看或下载秘密访问密钥的唯一机会,您必须向用户提供此信息,他们才能使用 Amazon API。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些秘密访问密钥。

  4. 将该用户添加到一个或多个组。您指定的组应具有用于向用户授予适当的权限的附加策略。

  5. (可选)向用户附加策略,此策略用于定义该用户的权限。注意:建议您通过将用户添加到一个组并向该组附加策略(而不是直接向用户附加策略)来管理用户权限。

  6. (可选)通过附加标签来向用户添加自定义属性。有关更多信息,请参阅 管理 IAM 用户(Amazon CLI 或 Amazon API)的标签

  7. (可选)为用户授予权限以管理自己的安全凭证。有关更多信息,请参阅 Amazon:允许经过 MFA 身份验证的 IAM 用户在“我的安全凭证”页面上管理自己的凭证