AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

身份管理概述:用户

为实现更好的安全性和组织,您可以向特定用户 (使用自定义权限创建的身份) 授予对您的 AWS 账户的访问权限。通过将现有身份联合到 AWS 中,可以进一步简化这些用户的访问。

仅限首次访问:您的根用户凭证

创建 AWS 账户时,会创建一个用于登录 AWS 的 AWS 账户根用户身份。您可以使用此根用户身份 (即创建账户时提供的电子邮件地址和密码) 登录 AWS 管理控制台。您的电子邮件地址和密码的组合也称为您的根用户凭证

使用根用户凭证时,您可以对 AWS 账户中的所有资源进行完全、无限制的访问,包括访问您的账单信息,您还能更改自己的密码。当您首次设置账户时,需要此访问级别。但是,我们建议使用根用户凭证进行日常访问。我们特别建议您不要与任何人共享您的根用户凭证,因为如果这样做,他们可对您的账户进行无限制的访问。无法限制向根用户授予的权限。

以下几节说明如何使用 IAM 创建和管理用户身份和权限以提供对您 AWS 资源的安全、有限访问,适用于您自己以及需要使用您 AWS 资源的其他人员。

IAM 用户

AWS Identity and Access Management (IAM) 的“身份”方面可帮助您解决问题“该用户是谁?” (通常称为身份验证)。您可以在账户中创建与组织中的用户对应的各 IAM 用户,不要与他人共享您的根用户凭证。IAM 用户不是单独的账户;它们是您账户中的用户。每个用户都可以有自己的密码以用于访问 AWS 管理控制台。您还可以为每个用户创建单独的访问密钥,以便用户可以发出编程请求以使用账户中的资源。在下图中,用户 Li、Mateo、DevApp1、DevApp2、TestApp1 和 TestApp2 已添加到单个 AWS 账户。每个用户都有自己的凭证。

 包含各个 IAM 用户 (各自都有凭证) 的一个 AWS 账户。

请注意,某些用户实际上是应用程序 (例如 DevApp1)。IAM 用户不必表示实际人员;您可以创建 IAM 用户以便为在公司网络中运行并需要 AWS 访问权限的应用程序生成访问密钥。

我们建议您为自己创建 IAM 用户,然后向自己分配账户的管理权限。您随后可以作为该用户登录以根据需要添加更多用户。

联合现有用户

如果您的组织中的用户已通过某种方法进行身份验证 (例如,通过登录到您的公司网络),则不必为他们创建单独的 IAM 用户。相反,您可以在 AWS 中对这些用户身份进行联合身份验证

下图介绍用户如何使用 IAM 获取临时 AWS 安全凭证以访问您 AWS 账户中的资源。

 已在其他位置进行了身份验证的用户可以通过联合身份验证进入 AWS,而无需 IAM 用户。

联合在这些情况下尤其有用:

  • 您的用户已在公司目录中拥有身份。

    如果您的公司目录与安全断言标记语言 2.0 (SAML 2.0) 兼容,则可以配置公司目录以便为用户提供对 AWS 管理控制台的单一登录 (SSO) 访问。有关更多信息,请参阅 临时凭证的常见情形

    如果您的公司目录不与 SAML 2.0 兼容,则可以创建身份代理应用程序以便为用户提供对 AWS 管理控制台的单一登录 (SSO) 访问。有关更多信息,请参阅 创建一个使联合身份用户能够访问 AWS 管理控制台 (自定义联合代理) 的 URL

    如果您的公司目录是 Microsoft Active Directory,则可以使用 AWS Directory Service 在公司目录与您的 AWS 账户之间建立信任。

  • 您的用户已有 Internet 身份。

    如果您创建的移动应用程序或基于 Web 的应用程序可以允许用户通过 Internet 身份提供商 (如 Login with Amazon、Facebook、Google 或任何与 OpenID Connect (OIDC) 兼容的身份提供商) 标识自己,则应用程序可以使用联合访问 AWS。有关更多信息,请参阅 关于 Web 联合身份验证

    提示

    要使用与 Internet 身份提供商的联合身份,我们建议使用 Amazon Cognito