IAM 用户如何登录 Amazon
要以 IAM 用户的身份登录到 Amazon Web Services Management Console,除了您的用户名和密码外,您还须提供您的账户 ID 或账户别名。当您的管理员在控制台中创建您的 IAM 用户时,他们应该已经向您发送了登录凭证,其中包括您的用户名和账户登录页面的 URL,内含您的账户 ID 或账户别名。
https://My_AWS_Account_ID.signin.aws.amazon.com/console/
提示
要在 Web 浏览器中为您的账户登录页面创建书签,您应在标签条目中手动键入您的账户的登录 URL。不要使用 Web 浏览器的书签功能,因为重定向会掩盖登录 URL。
您也可以在以下常规登录端点登录,然后手动键入您的账户 ID 或账户别名:
https://console.aws.amazon.com/
为方便起见,Amazon 登录页面使用浏览器 Cookie 记住 IAM 用户名和账户信息。下次用户转到 Amazon Web Services Management Console 中的任何页面时,控制台会使用 cookie 将用户重定向到账户登录页面。
您只能访问您的管理员在附加到您的 IAM 用户身份的策略中指定的 Amazon 资源。要在控制台开展工作,您必须有权限执行控制台执行的操作(例如列出和创建 Amazon 资源)。有关更多信息,请参阅 适用于 Amazon 资源的 Access Management 和 IAM 基于身份的策略示例。
注意
如果贵企业现在有一个身份系统,您可能需要创建单点登录 (SSO) 选项。SSO 向用户提供对您账户 Amazon Web Services Management Console 的访问权限,而不要求他们具有 IAM 用户身份。SSO 也无需用户单独登录您的组织的网站和 Amazon。有关更多信息,请参阅 使自定义身份凭证代理程序能够访问 Amazon 控制台。
在 CloudTrail 中记录登录详细信息
如果您允许 CloudTrail 将登录事件记录到您的日志中,您需要了解 CloudTrail 如何选择在何处记录事件。
-
如果您的用户直接登录到控制台,则系统会根据所选服务控制台是否支持区域,将他们重定向到全局或区域登录端点。例如,主控制台主页支持区域,因此,如果您登录以下 URL:
https://alias.signin.aws.amazon.com/console您会被重定向到
https://us-east-2.signin.aws.amazon.com这样的区域登录端点,使得该区域日志中产生一个区域 CloudTrail 日志条目:另一方面,Amazon S3 控制台不支持区域,因此,如果您登录到以下 URL
https://alias.signin.aws.amazon.com/console/s3Amazon 会将您重定向到全局登录端点
https://signin.aws.amazon.com,从而产生一个全局 CloudTrail 日志条目。 -
您可以通过使用类似如下的 URL 语法登录到启用区域的主控制台主页,来手动请求特定区域网站端点:
https://alias.signin.aws.amazon.com/console?region=ap-southeast-1Amazon 将您重定向到
ap-southeast-1区域登录端点并使该区域中产生一个 CloudTrail 日志事件。
有关 CloudTrail 和 IAM 的更多信息,请参阅使用 CloudTrail 记录 IAM 事件。
如果用户需要编程式访问来使用您的账户,则可以为每位用户创建访问密钥对(访问密钥 ID 和秘密访问密钥)。但是,在为用户创建访问密钥之前,还需要考虑更安全的替代方法。有关更多信息,请参阅《Amazon Web Services 一般参考》中的 长期访问密钥的注意事项和替代方案。
其他资源
以下资源可帮助您了解有关 Amazon 登录的更多信息。
-
《Amazon 登录用户指南》https://docs.amazonaws.cn/signin/latest/userguide/what-is-sign-in.html本指南可帮助您了解不同类型的用户登录 Amazon Web Services(Amazon)的不同方式。
-
在 Amazon Web Services Management Console中的单个 Web 浏览器中,您最多可以同时登录五个不同的身份。有关详细信息,请参阅《Amazon Web Services Management Console入门指南》中的登录多个账户。