Amazon 身份管理概述:用户 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon 身份管理概述:用户

为实现更好的安全性和企业,您可以向特定用户(使用自定义权限创建的身份)授予对您的 Amazon 账户的访问权限。通过将现有身份联合到 Amazon 中,可以进一步简化这些用户的访问。

仅限首次访问:您的根用户凭证

创建 Amazon 账户时,会创建一个用于登录 Amazon 的 Amazon Web Services 账户 根用户身份。您可以使用此身份 (即创建账户时提供的电子邮件地址和密码) 登录 Amazon Web Services Management Console。您的电子邮件地址和密码的组合也称为您的根用户凭证

使用根用户凭证时,您可以对 Amazon 账户中的所有资源进行完全、无限制的访问,包括访问您的账单信息,您还能更改自己的密码。当您首次设置账户时,需要此访问级别。但是,我们建议使用根用户凭证进行日常访问。我们特别建议您不要与任何人共享您的根用户凭证,因为如果这样做,他们可对您的账户进行无限制的访问。只有企业中的服务控制策略 (SCP) 才能限制授予根用户的权限。

以下几节说明如何使用 IAM 创建和管理用户身份和权限以提供对您 Amazon 资源的安全、有限访问,适用于您自己以及需要使用您 Amazon 资源的其他人员。

IAM 用户

Amazon Identity and Access Management (IAM) 的“身份”方面可帮助您解决问题“该用户是谁?”(通常称为身份验证)。您可以在账户中创建与企业中的用户对应的各 IAM 用户,不要与他人共享您的根用户凭证。IAM 用户不是单独的账户;它们是您的账户中的用户。每个用户都可以有自己的密码以用于访问 Amazon Web Services Management Console。您还可以为每个用户创建单独的访问密钥,以便用户可以发出编程请求以使用账户中的资源。在下图中,用户 Li、Mateo、DevApp1、DevApp2、TestApp1 和 TestApp2 已添加到单个 Amazon 账户。每个用户都有自己的凭证。


        包含各个 IAM 用户(各自都有凭证)的一个 Amazon 账户。

请注意,某些用户实际上是应用程序(例如 DevApp1)。IAM 用户不必表示实际人员;您可以创建 IAM 用户以便为在公司网络中运行并需要 Amazon 访问权限的应用程序生成访问密钥。

我们建议您为自己创建 IAM 用户,然后向自己分配账户的管理权限。您随后可以作为该用户登录以根据需要添加更多用户。

联合现有用户

如果您的企业中的用户已通过某种方法进行身份验证(例如,通过登录到您的公司网络),则不必为他们创建单独的 IAM 用户。相反,您可以在 Amazon 中对这些用户身份进行联合身份验证

下图介绍用户如何使用 IAM 获取临时 Amazon 安全凭证以访问您 Amazon 账户中的资源。


        已在其他位置进行了身份验证的用户可以通过联合身份验证进入 Amazon,而无需 IAM 用户。

联合在这些情况下尤其有用:

  • 您的用户已在公司目录中拥有身份。

    如果您的公司目录与安全断言标记语言 2.0 (SAML 2.0) 兼容,则可以配置公司目录以便为用户提供对 Amazon Web Services Management Console的单一登录 (SSO) 访问。有关更多信息,请参阅 临时凭证的常见情形

    如果您的公司目录不与 SAML 2.0 兼容,则可以创建身份代理应用程序以便为用户提供对 Amazon Web Services Management Console的单一登录 (SSO) 访问。有关更多信息,请参阅 使自定义身份代理能够访问 Amazon 控制台

    如果您的公司目录是 Microsoft Active Directory,则可以使用 Amazon Directory Service 在公司目录与您的 Amazon 账户之间建立信任。

  • 您的用户已有 Internet 身份。

    如果您创建的移动应用程序或基于 Web 的应用程序可以允许用户通过 Internet 身份提供商 (如 Login with Amazon、Facebook、Google 或任何与 OpenID Connect (OIDC) 兼容的身份提供商) 标识自己,则应用程序可以使用联合访问 Amazon。有关更多信息,请参阅 关于 Web 联合身份验证

    Tip

    要使用与 Internet 身份提供商的联合身份,我们建议使用 Amazon Cognito