AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

身份管理概述:用户

为实现更好的安全性和组织,您可以向特定用户(使用自定义权限创建的身份)授予对您的 AWS 账户的访问权限。通过将现有身份联合到 AWS 中,可以进一步简化这些用户的访问。

仅限首次访问:您的根用户凭证

创建 AWS 账户时,会创建一个用于登录 AWS 的 AWS 账户根用户身份。您可以使用此根用户身份(即,创建账户时提供的电子邮件地址和密码)登录 AWS 管理控制台。您的电子邮件地址和密码的组合也称为您的根用户凭证

使用根用户凭证时,您可以对 AWS 账户中的所有资源进行完全、无限制的访问,包括访问您的账单信息,您还能更改自己的密码。当您首次设置账户时,需要此访问级别。但是,我们 建议使用根用户凭证进行日常访问。我们特别建议您不要与任何人共享您的根用户凭证,因为如果这样做,他们可对您的账户进行无限制的访问。无法限制向根用户授予的权限。

以下几节说明如何使用 IAM 创建和管理用户身份和权限以提供对您 AWS 资源的安全、有限访问,适用于您自己以及需要使用您 AWS 资源的其他人员。

IAM 用户

AWS Identity and Access Management (IAM) 的“身份”方面可帮助您解决问题“该用户是谁?”(通常称为身份验证)。您可以在账户中创建与组织中的用户对应的各 IAM 用户,而不是与他人共享您的根用户凭证。IAM 用户不是单独的账户;它们是您账户中的用户。每个用户都可以有自己的密码以用于访问 AWS 管理控制台。您还可以为每个用户创建单独的访问密钥,以便用户可以发出编程请求以使用账户中的资源。在下图中,用户 Li、Mateo、DevApp1、DevApp2、TestApp1 和 TestApp2 已添加到单个 AWS 账户。每个用户都有自己的凭证。


        包含各个 IAM 用户(各自都有凭证)的一个 AWS 账户。

请注意,某些用户实际上是应用程序(例如 DevApp1)。IAM 用户不必表示实际人员;您可以创建 IAM 用户以便为在公司网络中运行并需要 AWS 访问权限的应用程序生成访问密钥。

我们建议您为自己创建 IAM 用户,然后向自己分配账户的管理权限。您随后可以作为该用户登录以根据需要添加更多用户。

联合现有用户

如果您的组织中的用户已通过某种方法进行身份验证 (例如,通过登录到您的公司网络),则不必为他们创建单独的 IAM 用户。相反,您可以在 AWS 中对这些用户身份进行联合身份验证

下图介绍用户如何使用 IAM 获取临时 AWS 安全凭证以访问您 AWS 账户中的资源。


        已在其他位置进行了身份验证的用户可以通过联合身份验证进入 AWS,而无需 IAM 用户。

联合在这些情况下尤其有用:

  • 您的用户已在公司目录中拥有身份。

    如果您的公司目录与安全断言标记语言 2.0 (SAML 2.0) 兼容,则可以配置公司目录以便为用户提供对 AWS 管理控制台的单一登录 (SSO) 访问。有关更多信息,请参阅 临时凭证的常见情形

    如果您的公司目录不与 SAML 2.0 兼容,则可以创建身份代理应用程序以便为用户提供对 AWS 管理控制台的单一登录 (SSO) 访问。有关更多信息,请参阅创建一个使联合用户能够访问 AWS 管理控制台(自定义联合代理)的 URL

    如果您的公司目录是 Microsoft Active Directory,则可以使用 AWS Directory Service 在公司目录与您的 AWS 账户之间建立信任。

  • 您的用户已有 Internet 身份。

    如果您创建的移动应用程序或基于 Web 的应用程序可以允许用户通过 Internet 身份提供商 (如 Login with Amazon、Facebook、Google 或任何与 OpenID Connect (OIDC) 兼容的身份提供商) 标识自己,则应用程序可以使用联合访问 AWS。有关更多信息,请参阅关于 Web 联合身份验证

    提示

    要使用与 Internet 身份提供商的联合身份,我们建议使用 Amazon Cognito