AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

在您的 AWS 账户中创建 IAM 用户

可以在您的 AWS 账户中创建一个或多个 IAM 用户。当有人加入您的团队时,或创建需要对 AWS 进行 API 调用的新应用程序时,您可能会创建 IAM 用户。

重要

如果您已位于此页面,并尝试为您的应用程序或网站启用 Amazon Advertising,请参阅成为产品广告 API 开发人员

如果您是从 IAM 控制台到达该页面的,您的账户可能不包含 IAM 用户(即使您已登录)。能够使用角色以 AWS 账户根用户身份登录,也可以使用临时凭证登录。要了解有关这些 IAM 身份的更多信息,请参阅身份 (用户、组和角色)

创建用户并使该用户能够执行工作任务的过程包含以下步骤:

  1. 在 AWS 管理控制台、AWS CLI、Windows PowerShell 工具中或使用 AWS API 操作创建用户。如果您在 AWS 管理控制台中创建用户,则将根据您的选择自动处理步骤 1 到步骤 4。如果您以编程方式创建用户,则必须分别执行上述每个步骤。

  2. 根据用户所需的访问类型为用户创建凭证:

    • 编程访问:IAM 用户可能需要进行 API 调用、使用 AWS CLI 或使用Windows PowerShell 工具。对于这种情况,请为该用户创建访问密钥(访问密钥 ID 和秘密访问密钥)。

    • AWS 管理控制台访问:如果用户需要访问 AWS 管理控制台,请为用户创建密码

    作为最佳实践,请仅创建用户需要的凭证。例如,对于仅需要通过 AWS 管理控制台进行访问的用户,请勿创建访问密钥。

  3. 通过将用户添加到一个或多个组,向用户提供执行所需任务的权限。您还可以通过将权限策略直接附加到用户来授予权限。但是,我们建议您将用户放入组内并通过附加到这些组的策略来管理权限。您还可以使用权限边界来限制用户可以具有的权限,但这不常用。

  4. 向用户提供必要的登录信息。信息包括密码以及用户在其中提供这些凭证的账户登录页面的控制台 URL。有关更多信息,请参阅 IAM 用户如何登录 AWS

  5. (可选) 为用户配置多重验证 (MFA)。MFA 要求用户在每次登录 AWS 管理控制台时都提供一次性的代码。

  6. (可选) 向用户授予管理其自己的安全凭证所需的权限。(默认状态下,用户没有许可管理自己的证书。) 有关更多信息,请参阅 允许 IAM 用户更改自己的密码

有关创建用户时需要的权限的信息,请参阅访问 IAM 资源所需的权限

创建 IAM 用户(控制台)

您可以使用 AWS 管理控制台创建 IAM 用户。

创建一个或多个 IAM 用户(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users (用户),然后选择Add user (添加用户)

  3. 为新用户键入用户名。这是 AWS 的登录名。如果您要同时添加多个用户,请为每个其他用户选择 Add another user 并键入其用户名。您一次最多可以添加 10 个用户。

    注意

    用户名可以是一个最多由 64 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您不能创建名为 TESTUSERtestuser 的两个用户。有关 IAM 实体限制条件的更多信息,请参阅 IAM 实体和对象的限制

  4. 选择此组用户将拥有的访问权限类型。您可以选择以编程方式访问、访问 AWS 管理控制台,或者同时选择这二者。

    • 如果用户需要访问 API、AWS CLI 或 Windows PowerShell 工具,请选择 Programmatic access (编程访问)。这会为每个新用户创建访问密钥。您可以在转到 Final 页面后查看或下载访问密钥。

    • 如果用户需要访问 AWS 管理控制台,请选择 AWS 管理控制台 access (AWS 管理控制台访问)。这会为每个新用户创建密码。

    1. 对于 Console password type,选择以下任一项:

      • 自动生成的密码。每个用户将获得一个随机生成的密码,该密码符合当前生效的密码策略 (如果有)。在转到完成页面后,您可以查看或下载密码。

      • 自定义密码。向每个用户分配您在框内键入的密码。

    2. (可选)我们建议您选择 Require password reset 以确保用户在首次登录时必须更改其密码。

      注意

      如果您尚未 启用整个账户的密码策略设置 Allow users to change their own password (允许用户更改其密码),则选择 Require password reset (需要密码重置) 会将名为 IAMUserChangePassword 的 AWS 托管策略自动附加到新用户,授予他们更改自己的密码的权限。

  5. 选择 Next: Permissions

  6. Set permissions 页面上,指定您要向这组新用户分配权限的方式。选择下列三个选项之一:

    • 将用户添加到组。如果您希望将用户分配到已具有权限策略的一个或多个组,请选择此选项。IAM 将显示您账户中的组及其附加的策略的列表。您可以选择一个或多个现有组,或者选择 Create group 来创建新组。有关更多信息,请参阅更改 IAM 用户的权限

    • 从现有用户复制权限。选择此选项可将现有用户的所有组成员资格、附加的托管策略、嵌入式内联策略以及任何现有的权限边界都复制给新用户。IAM 将显示您账户中的用户列表。选择其权限与新用户的需求最为匹配的一个用户。

    • 直接将现有策略附加到用户。选择此选项可查看您的账户中的 AWS 托管策略和客户托管策略的列表。选择您要附加到新用户的策略或选择创建策略,以打开新的浏览器选项卡并从头开始创建新策略。有关更多信息,请参阅过程创建 IAM 策略(控制台)中的步骤 4。在您创建策略后,关闭该选项卡并返回到您的原始选项卡,以将策略添加到新用户。作为最佳实践,我们建议您改为将策略附加到组,然后使用户成为相应的组的成员。

  7. (可选)设置权限边界。这是一项高级功能。

    打开 Set permissions boundary (设置权限边界) 部分,然后选择 Use a permissions boundary to control the maximum user permissions (使用权限边界最大用户权限)。IAM 将显示您的账户中的 AWS 托管和客户托管策略的列表。选择要用于权限边界的策略,或选择创建策略以打开新的浏览器选项卡并从头开始创建新策略。有关更多信息,请参阅过程创建 IAM 策略(控制台)中的步骤 4。在您创建策略后,关闭该选项卡并返回到您的原始选项卡,以选择要用于权限边界的策略。

  8. 选择 Next: Review 以查看您此时已做出的所有选择。如果您已准备好继续,请选择 Create user

  9. 要查看用户的访问密钥(访问密钥 ID 和秘密访问密钥),请选择您要查看的每个密码和访问密钥旁边的显示。要保存访问密钥,请选择下载 .csv,然后将文件保存到安全位置。

    重要

    这是您查看或下载秘密访问密钥的唯一机会,您必须向用户提供此信息,他们才能使用 AWS API。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些私有密钥。

  10. 为每个用户提供各自的凭证。在最后的页面上,您可以选择每个用户旁边的 Send email。您的本地邮件客户端将打开并显示一份草稿,您可以对草稿进行自定义并发送。电子邮件模板包括每个用户的以下详细信息:

    • 用户名称

    • 账户登录页面的 URL。使用以下示例,换入正确的账户 ID 号或账户别名:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    有关更多信息,请参阅IAM 用户如何登录 AWS

    重要

    用户的密码 包括在生成的电子邮件中。您必须以符合您组织的安全准则的方式向客户提供密码。

  11. (可选) 向用户授予管理自己的安全凭证的权限。有关更多信息,请参阅 允许用户管理自己的密码、访问密钥和 SSH 密钥

创建 IAM 用户(AWS CLI)

您可以使用 AWS CLI 创建 IAM 用户。

创建 IAM 用户 (AWS CLI)

  1. 创建用户。

  2. (可选)向用户提供对 AWS 管理控制台的访问权限。这需要密码。您必须还向用户提供您的账户登录页的 URL。

  3. (可选)向用户提供编程访问。这需要访问密钥。

  4. 将该用户添加到一个或多个组。您指定的组应具有用于向用户授予适当的权限的附加策略。

  5. (可选)向用户附加策略,此策略用于定义该用户的权限。注意:建议您通过将用户添加到一个组并向该组附加策略(而不是直接向用户附加策略)来管理用户权限。

  6. (可选)向用户授予用于管理其自身的安全凭证的权限。有关更多信息,请参阅 允许用户管理自己的密码、访问密钥和 SSH 密钥

创建 IAM 用户 (AWS API)

您可以使用 AWS API 创建 IAM 用户。

从 (AWS API) 创建 IAM 用户

  1. 创建用户。

  2. (可选)向用户提供对 AWS 管理控制台的访问权限。这需要密码。您必须还向用户提供您的账户登录页的 URL。

  3. (可选)向用户提供编程访问。这需要访问密钥。

    • CreateAccessKey

      重要

      这是您查看或下载秘密访问密钥的唯一机会,您必须向用户提供此信息,他们才能使用 AWS API。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些私有密钥。

  4. 将该用户添加到一个或多个组。您指定的组应具有用于向用户授予适当的权限的附加策略。

  5. (可选)向用户附加策略,此策略用于定义该用户的权限。注意:建议您通过将用户添加到一个组并向该组附加策略(而不是直接向用户附加策略)来管理用户权限。

  6. (可选)向用户授予用于管理其自身的安全凭证的权限。有关更多信息,请参阅 允许用户管理自己的密码、访问密钥和 SSH 密钥