# 在 Amazon Web Services 账户 中创建 IAM 用户 **重要** IAM [最佳实践](best-practices.md)建议您您要求人类用户使用与身份提供商的联合身份验证才能使用临时凭证访问 Amazon,而不是使用具有长期凭证的 IAM 用户。我们建议您仅在联合用户不支持的[特定用例](gs-identities-iam-users.md)中使用 IAM 用户。 创建 IAM 用户并使该用户能够执行任务的过程包含以下步骤: 1. [在 Amazon Web Services 管理控制台、Amazon CLI、Tools for Windows PowerShell 中或使用 Amazon API 操作创建用户](getting-started-workloads.md)。如果您在 Amazon Web Services 管理控制台 中创建用户,则将根据您的选择自动处理步骤 1 到步骤 4。如果以编程方式创建 IAM 用户,则必须分别执行上述每个步骤。 1. 根据用户所需的访问类型为用户创建凭证: + **启用控制台访问 – *可选***:如果用户需要访问 Amazon Web Services 管理控制台,[请为用户创建密码](id_credentials_passwords_admin-change-user.md)。禁用用户的控制台访问可防止用户使用其用户名和密码登录 Amazon Web Services 管理控制台。这不会更改他们的权限,也不会阻止他们使用担任的角色访问控制台。 **提示** 请仅创建用户需要的凭证。例如,对于仅需要通过 Amazon Web Services 管理控制台进行访问的用户,请勿创建访问密钥。 1. 给予用户执行所需任务的权限。建议将 IAM 用户放入组内,通过附加到这些组的策略来管理权限。但是,您还可以通过将权限策略直接附加到用户来授予权限。如果使用控制台添加用户,则您可以将现有用户的权限复制到新用户。 您还可以指定定义用户可以拥有的最大权限的策略,由此添加[权限边界](access_policies_boundaries.md)来限制用户的权限。权限边界不授予任何权限。 有关创建用于授予权限或设置权限边界的自定义权限策略的说明,请参阅 [使用客户管理型策略定义自定义 IAM 权限](access_policies_create.md)。 1. (可选)通过附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 [Amazon Identity and Access Management 资源的标签](id_tags.md)。 1. 向用户提供必要的登录信息。信息包括密码以及用户在其中提供这些凭证的账户登录页面的控制台 URL。有关更多信息,请参阅 [IAM 用户如何登录 Amazon](id_users_sign-in.md)。 1. (可选) 为用户配置[多重验证 (MFA)](id_credentials_mfa.md)。MFA 要求用户在每次登录 Amazon Web Services 管理控制台时都提供一次性的代码。 1. (可选)向 IAM 用户授予管理自己安全凭证所需的权限。(默认状态下,IAM 用户没有权限管理自己的凭证。) 有关更多信息,请参阅 [允许 IAM 用户更改自己的密码](id_credentials_passwords_enable-user-change.md)。 **注意** 如果您使用控制台创建用户并选择**用户必须在下次登录时创建新密码(推荐)**,则用户具有所需的权限。 有关创建用户时需要的权限的信息,请参阅[访问 IAM 资源所需的权限](access_permissions-required.md)。 有关为特定应用场景创建 IAM 用户的说明,请参阅以下主题: + [创建用于紧急访问的 IAM 用户](getting-started-emergency-iam-user.md) + [为无法使用 IAM 角色的工作负载创建 IAM 用户](getting-started-workloads.md)