AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

管理 IAM 用户

Amazon Web Services 提供了多种工具来管理 AWS 账户中的 IAM 用户。

列出 IAM 用户

您可以列出 AWS 账户中或特定 IAM 组中的 IAM 用户,也可以列出用户所属的所有组。有关为列出用户而需要的权限的信息,请参阅访问 IAM 资源所需的权限

列出账户中的所有用户

列出特定组中的用户

列出用户所属的所有组

重命名 IAM 用户

要更改用户的名称或路径,必须使用 AWS CLI、Windows PowerShell 工具 或 AWS API。控制台中没有用于重命名用户的选项。有关为将用户重命名而需要的权限的信息,请参阅访问 IAM 资源所需的权限

当您更改用户名或路径时,发生以下情况:

  • 应用于用户的所有策略采用新用户名继续生效.

  • 采用新用户名的用户保留在原来的群组.

  • 该用户的唯一 ID 保持不变。有关唯一 ID 的更多信息,请参阅唯一 ID

  • 任何将该用户视为委托人 (向该用户授予访问权限) 的资源或角色策略均自动更新以使用新用户名或路径。例如,Amazon SQS 中任何基于队列的策略或 Amazon S3 中任何基于资源的策略都会自动更新,以使用新名称和路径。

IAM 不自动更新将该用户视为资源以使用新用户名或路径的策略;您只能手动更新。例如,假设向用户 Richard 附加了一个策略,该策略使该用户可管理其自己的安全凭证。如果管理员将 Richard 重命名为 Rich,则管理员还需要更新该策略以将资源从此:

arn:aws-cn:iam::111122223333:user/division_abc/subdivision_xyz/Richard

改为此:

arn:aws-cn:iam::111122223333:user/division_abc/subdivision_xyz/Rich

如果管理员更改路径,则也会发生这种情况;管理员需要更新策略以反映该用户使用新路径。

重命名用户

删除 IAM 用户

如果贵公司有人离职,则可从您的账户中删除 IAM 用户。如果用户只是暂时离开公司,则可禁用该用户的证书,而不必从 AWS 账户中完全删除该用户。这样可防止该用户在离开期间访问 AWS 账户的资源,但以后可重新启用该用户。

有关禁用证书的更多信息,请参阅管理 IAM 用户的访问密钥。有关为删除用户而需要的权限的信息,请参阅访问 IAM 资源所需的权限

删除 IAM 用户(控制台)

使用 AWS 管理控制台删除 IAM 用户时,IAM 将自动删除以下信息:

  • 用户

  • 任何组成员关系,即从该用户所属的任何 IAM 组中删除该用户

  • 任何与该用户关联的密码

  • 属于该用户的任何访问密钥

  • 嵌入到该用户中的所有内联策略 (通过组权限应用于用户的策略不受影响)

    注意

    删除用户时,所有附加到该用户的托管策略都将与该用户分离。删除用户时不会删除托管策略。

  • 任何关联的 MFA 设备

删除 IAM 用户(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users,然后选择要删除的用户名称旁的复选框,而不是名称或行本身。

  3. 在页面的顶部,选择 Delete user

  4. 在确认对话框中,先等待上次访问的服务数据加载,然后审核数据。该对话框会显示所选每个用户上次访问 AWS 服务的时间。如果您尝试删除在最近 30 天内处于活动状态的用户,则必须选中另一个复选框以确认要删除该活动用户。如果要继续,请选择 Yes, Delete

删除 IAM 用户 (AWS CLI)

与 AWS 管理控制台 不同,使用 AWS CLI 删除用户时,您必须手动删除附加到该用户的项目。此过程演示了这个流程。

从您的账户删除用户 (AWS CLI)

  1. 删除用户的密钥和证书。这有助于确保用户再也无法访问您的 AWS 账户资源。注意,当您删除安全证书时,证书永远消失,无法恢复。

    aws iam delete-access-keyaws iam delete-signing-certificate

  2. 如果用户有密码,删除该用户的密码。

    aws iam delete-login-profile

  3. 如果用户有 MFA 设备,请禁用该设备。

    aws iam deactivate-mfa-device

  4. 分离附加到该用户的任何策略。

    aws iam list-attached-user-policies(用于列出附加到该用户的策略)和 aws iam detach-user-policy(用于分离策略)

  5. 获取该用户所属的任何组的列表,然后从这些组中删除该用户。

    aws iam list-groups-for-useraws iam remove-user-from-group

  6. 删除该用户。

    aws iam delete-user