AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

IAM 用户如何登录 AWS

要以 IAM 用户身份登录 AWS 管理控制台,除了提供用户名和密码以外,您还必须提供账户 ID 或账户别名。管理员在控制台中创建 IAM 用户时,他们应该已经向您发送登录凭证,包括用户名和指向您的账户登录页面的 URL (其中包括账户 ID 和账户别名)。

https://My_AWS_Account_ID.signin.www.amazonaws.cn/console/

提示

要在 Web 浏览器中为您的账户登录页面创建书签,您应在标签条目中手动键入您的账户的登录 URL。不要使用 Web 浏览器的书签功能,因为重定向会掩盖登录 URL。

您还可以在以下通用登录终端节点登录并手动键入账户 ID 或账户别名:

https://console.amazonaws.cn/

为方便起见,AWS 登录页面将使用浏览器 Cookie 来记住您的 IAM 用户名和账户信息。当用户下次转至 AWS 管理控制台中的任意页面时,控制台使用此 cookie 将用户重定向到账户登录页。

您只能访问管理员在附加到您的 IAM 用户身份的策略中指定的 AWS 资源。要在控制台开展工作,您必须有权限执行控制台执行的操作 (例如列出和创建 AWS 资源)。有关更多信息,请参阅 访问控制IAM 基于身份的策略示例

注意

如果组织现在有一个身份系统,您可能需要创建单一登录 (SSO) 选项。SSO 向用户提供访问您的账户的 AWS 管理控制台的权限,而无需他们具有 IAM 用户身份。SSO 也无需用户单独登录您的组织的网站和 AWS。有关更多信息,请参阅 创建一个使联合身份用户能够访问 AWS 管理控制台(自定义联合代理)的 URL

在 CloudTrail 中记录登录详细信息

如果您允许 CloudTrail 将登录事件记录到您的日志中,您需要了解 CloudTrail 如何选择在何处记录事件。

  • 如果您的用户直接登录到控制台,则系统会根据所选服务控制台是否支持区域,将他们重定向到全局或区域登录终端节点。例如,主控制台主页支持区域,因此,如果您登录以下 URL:

    https://alias.signin.aws.amazon.com/console

    您会被重定向到区域登录终端节点,例如 https://us-east-2.signin.aws.amazon.com,导致用户的区域日志中记录一个区域 CloudTrail 日志条目:

    另一方面,Amazon S3 控制台不支持区域,因此,如果您登录到以下 URL

    https://alias.signin.aws.amazon.com/console/s3

    AWS 会将您重定向到全局登录终端节点 https://signin.aws.amazon.com,从而产生一个全局 CloudTrail 日志条目。

  • 您可以通过使用类似如下的 URL 语法登录到启用区域的主控制台主页,来手动请求特定区域网站终端节点:

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS 将您重定向到 ap-southeast-1 区域登录终端节点并导致区域 CloudTrail 日志事件。

有关 CloudTrail 和 IAM 的更多信息,请参阅使用 AWS CloudTrail 记录 IAM 事件

管理访问密钥(控制台)中所述,如果用户需要编程访问来使用您的账户,则可以为所有用户创建访问密钥对(访问密钥 ID 和私有密钥)。