IAM 用户如何登录 AWS
要以 IAM 用户身份登录 AWS 管理控制台,除了提供用户名和密码以外,您还必须提供账户 ID 或账户别名。管理员在控制台中创建 IAM 用户时,他们应该已经向您发送登录凭证,包括用户名和指向您的账户登录页面的 URL (其中包括账户 ID 和账户别名)。
https://My_AWS_Account_ID.signin.www.amazonaws.cn/console/
提示
要在 Web 浏览器中为您的账户登录页面创建书签,您应在标签条目中手动键入您的账户的登录 URL。不要使用 Web 浏览器的书签功能,因为重定向会掩盖登录 URL。
您还可以在以下通用登录终端节点登录并手动键入账户 ID 或账户别名:
https://console.amazonaws.cn/
为方便起见,AWS 登录页面将使用浏览器 Cookie 来记住您的 IAM 用户名和账户信息。当用户下次转至 AWS 管理控制台中的任意页面时,控制台使用此 cookie 将用户重定向到账户登录页。
您只能访问管理员在附加到您的 IAM 用户身份的策略中指定的 AWS 资源。要在控制台开展工作,您必须有权限执行控制台执行的操作 (例如列出和创建 AWS 资源)。有关更多信息,请参阅 访问控制 和 IAM 基于身份的策略示例。
注意
如果组织现在有一个身份系统,您可能需要创建单一登录 (SSO) 选项。SSO 向用户提供访问您的账户的 AWS 管理控制台的权限,而无需他们具有 IAM 用户身份。SSO 也无需用户单独登录您的组织的网站和 AWS。有关更多信息,请参阅 创建一个使联合用户能够访问 AWS 管理控制台(自定义联合代理)的 URL。
在 CloudTrail 中记录登录详细信息
如果您允许 CloudTrail 将登录事件记录到您的日志中,您需要了解 CloudTrail 如何选择在何处记录事件。
-
如果您的用户直接登录到控制台,则系统会根据所选服务控制台是否支持区域,将他们重定向到全局或区域登录终端节点。例如,主控制台主页支持区域,因此,如果您登录以下 URL:
https://alias.signin.aws.amazon.com/console您会被重定向到区域登录终端节点,例如
https://us-east-2.signin.aws.amazon.com,导致用户的区域日志中记录一个区域 CloudTrail 日志条目:另一方面,Amazon S3 控制台不支持区域,因此,如果您登录到以下 URL
https://alias.signin.aws.amazon.com/console/s3AWS 会将您重定向到全局登录终端节点
https://signin.aws.amazon.com,从而产生一个全局 CloudTrail 日志条目。 -
您可以通过使用类似如下的 URL 语法登录到启用区域的主控制台主页,来手动请求特定区域网站终端节点:
https://alias.signin.aws.amazon.com/console?region=ap-southeast-1AWS 将您重定向到
ap-southeast-1区域登录终端节点并导致区域 CloudTrail 日志事件。
有关 CloudTrail 和 IAM 的更多信息,请参阅使用 AWS CloudTrail 记录 IAM 事件。
如管理访问密钥(控制台)中所述,如果用户需要编程访问来使用您的账户,则可以为所有用户创建访问密钥对(访问密钥 ID 和私有密钥)。