Amazon 身份管理概述:用户 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon 身份管理概述:用户

您可以授予特定用户对 Amazon Web Services 账户 的访问权限,并为他们提供访问您 Amazon Web Services 账户 中资源的特定权限。您可以使用 IAM 和 Amazon IAM Identity Center 创建新用户或将现有用户联合到 Amazon 中。两者之间的主要区别在于,IAM 用户将获得您 Amazon 资源的长期凭证,而 IAM Identity Center 中的用户则获得临时凭证,这些临时凭证在用户每次登录 Amazon 时建立。作为最佳实践,要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证而非作为 IAM 用户访问 Amazon。IAM 用户的主要用途是使无法使用 IAM 角色的工作负载能够使用 API 或 CLI 向 Amazon 服务发出编程请求。

仅限首次访问:您的根用户凭证

创建 Amazon Web Services 账户 时,最初使用的是一个对账户中所有 Amazon Web Services 和资源拥有完全访问权限的登录身份。此身份称为 Amazon Web Services 账户根用户,使用您创建账户时所用的电子邮件地址和密码登录,即可获得该身份。强烈建议您不要使用根用户执行日常任务。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以根用户身份登录的任务的完整列表,请参阅《IAM 用户指南》中的 需要根用户凭证的任务。只有企业中的服务控制策略 (SCP) 才能限制授予根用户的权限。

IAM 用户和 IAM Identity Center 中的用户

IAM 用户不是单独的账户;它们是您的账户中的用户。每个用户都可以有自己的密码以用于访问 Amazon Web Services Management Console。您还可以为每个用户创建单独的访问密钥,以便用户可以发出编程请求以使用账户中的资源。

IAM 用户将获得您 Amazon 资源的长期凭证。作为最佳实践,请勿为人类用户创建具有长期凭证的 IAM 用户。相反,请要求人类用户在访问 Amazon 时使用临时凭证。

注意

对于需要具有编程访问权限和长期凭证的 IAM 用户的场景,我们建议在需要时更新访问密钥。有关更多信息,请参阅更新访问密钥

相比之下,Amazon IAM Identity Center 中的用户 将获得您 Amazon 资源的短期凭证。对于集中式访问权限管理,我们建议使用 Amazon IAM Identity Center(IAM Identity Center)来管理对您账户的访问权限以及这些账户中的其他权限。IAM Identity Center 会自动配置 Identity Center 目录作为您的默认身份源,您可以在其中创建用户和组,并分配这些用户和组对您 Amazon 资源的访问级别。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的什么是 Amazon IAM Identity Center

联合现有用户

如果您组织中的用户已通过某种方法进行身份验证(例如,通过登录到您的公司网络),则不必为其创建单独的 IAM 用户或 IAM Identity Center 中的用户。相反,您可以使用 IAM 或 Amazon IAM Identity Center 将这些用户身份联合到 Amazon 中。

下图介绍用户如何获取临时 Amazon 安全凭证以访问您 Amazon Web Services 账户 中的资源。


        已在其他地方经过身份验证的用户可以联合到 Amazon 中并代入 IAM 角色,该角色授予他们访问特定资源的权限。有关角色的更多信息,请参阅 角色术语和概念。

联合在这些情况下尤其有用:

  • 您的用户已存在于公司目录中。

    如果您的公司目录与安全断言标记语言 2.0 (SAML 2.0) 兼容,则可以配置公司目录以便为用户提供对 Amazon Web Services Management Console的单一登录 (SSO) 访问。有关更多信息,请参阅临时凭证的常见情形

    如果您的公司目录不与 SAML 2.0 兼容,则可以创建身份代理应用程序以便为用户提供对 Amazon Web Services Management Console的单一登录 (SSO) 访问。有关更多信息,请参阅使自定义身份代理能够访问 Amazon 控制台

    如果您的公司目录是 Microsoft Active Directory,则可以使用 Amazon IAM Identity Center 连接 Active Directory 中的自我管理目录或 Amazon Directory Service 中的目录,以便在公司目录与您 Amazon Web Services 账户 之间建立信任。

    如果您使用外部身份提供者(IdP)(例如 Okta 或 Microsoft Entra)管理用户,则可以使用 Amazon IAM Identity Center 在 IdP 和 Amazon Web Services 账户 之间建立信任。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的连接到外部身份提供者

  • 您的用户已有 Internet 身份。

    如果您创建的移动应用程序或基于 Web 的应用程序可以允许用户通过 Internet 身份提供商 (如 Login with Amazon、Facebook、Google 或任何与 OpenID Connect (OIDC) 兼容的身份提供商) 标识自己,则应用程序可以使用联合访问 Amazon。有关更多信息,请参阅 关于 Web 联合身份验证

    提示

    要使用与 Internet 身份提供商的联合身份,我们建议使用 Amazon Cognito

访问控制方法

以下是可以控制您的 Amazon 资源访问权限的几种方式:

用户访问类型 我为什么使用这种方式? 怎样获取更多信息?

为人类用户(例如您的员工用户)提供单点登录访问,以使用 IAM Identity Center 访问 Amazon 资源

IAM Identity Center 提供了一个集中位置,将用户的管理及其对 Amazon Web Services 账户 和云应用程序的访问汇集在一起。

您可以在 IAM Identity Center 中设置身份存储,也可以与现有身份提供者(IdP)一起配置联合身份验证。建议根据需要向人类用户授予有限的 Amazon 资源凭证作为安全最佳实践。

用户可以获得更简单的登录体验,并且您可以控制他们通过单个系统访问资源。IAM Identity Center 支持多重身份验证(MFA),以提高账户的安全性。

有关设置 IAM Identity Center 的更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的入门

有关在 IAM Identity Center 中使用 MFA 的更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的多重身份验证

人类用户(例如您的员工用户)使用 IAM 身份提供程序访问 Amazon 服务的联合访问权限

IAM 支持与 OpenID Connect (OIDC) 或者 SAML 2.0 (Security Assertion Markup Language 2.0) 兼容的 IdPs。创建 IAM 身份提供程序后,必须创建一个或多个可以动态分配给联合用户的 IAM 角色。

有关 IAM 身份提供程序和联合身份验证的更多信息,请参阅 身份提供程序和联合身份验证

Amazon Web Services 账户 间的跨账户访问权限

您想要与其他 Amazon Web Services 账户 中的用户共享对特定 Amazon 资源的访问权限。

角色是授予跨账户存取权限的主要方式。但是,某些 Amazon 服务允许您将策略直接附加到资源(而不是使用角色作为代理)。这些策略称为基于资源的策略。

有关 IAM 角色的更多信息,请参阅 IAM 角色

有关服务相关角色的更多信息,请参阅 使用服务相关角色

有关哪些服务支持使用服务相关角色的信息,请参阅 使用 IAM 的Amazon服务。查找在 Service-Linked Role(服务相关角色)列中具有 Yes(是)值的服务。要查看该服务的服务相关角色文档,请选择该列中与有关的链接。

您的 Amazon Web Services 账户 中指定 IAM 用户的长期凭证

您可能有一些特定的使用案例需要带有 Amazon 中 IAM 用户的长期凭证。您可以使用 IAM 在您的 Amazon Web Services 账户 中创建这些 IAM 用户,并使用 IAM 管理他们的权限。部分使用场景包括:

  • 无法使用 IAM 角色的工作负载

  • 需要通过访问密钥进行编程访问的第三方 Amazon 客户端

  • Amazon CodeCommit 或 Amazon Keyspaces 的服务特定凭证

  • Amazon IAM Identity Center 不适用于您的账户,而且您没有其他身份提供程序

根据 最佳实践,对于需要具有 编程访问权限和长期凭证 的 IAM 用户的场景,我们建议在需要时更新访问密钥。有关更多信息,请参阅更新访问密钥

有关设置 IAM 用户的信息,请参阅 在您的 Amazon Web Services 账户 中创建 IAM 用户

有关 IAM 用户访问密钥的更多信息,请参阅 管理 IAM 用户的访问密钥

有关 Amazon CodeCommit 或 Amazon Keyspaces 的服务特定凭证的更多信息,请参阅 将 IAM 与 CodeCommit 结合使用:Git 凭证、SSH 密钥和 Amazon 访问密钥将 IAM 与 Amazon Keyspaces 结合使用(针对 Apache Cassandra)