AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS:允许 IAM 用户在“My Security Credentials (我的安全凭证)”页面上管理自己的密码、访问密钥和 SSH 公有密钥。

此示例显示您可以如何创建策略 允许 IAM 用户在 My Security Credentials (我的安全凭证) 页面上管理他们自己的密码、访问密钥和 X.509 证书。此 AWS 管理控制台 页面显示账户信息,例如账户 ID 和规范用户 ID。用户还可以查看和编辑自己的密码、访问密钥、MFA 设备、X.509 证书、SSH 密钥和 Git 凭证。此示例策略包括仅查看和编辑其密码、访问密钥和 X.509 证书所需的权限。要允许用户使用 MFA 管理他们自己的所有凭证,请参阅AWS:允许经过 MFA 身份验证的 IAM 用户在“My Security Credentials (我的安全凭证)”页面上管理自己的凭证。。要允许用户在不使用 MFA 的情况下管理自己的凭证,请参阅AWS:允许 IAM 用户在“My Security Credentials (我的安全凭证)”页面上管理他们自己的凭证

要了解用户如何访问 My Security Credentials (我的安全凭证) 页面,请参阅IAM 用户如何更改自己的密码(控制台)

此策略有何作用?

  • AllowViewAccountInfo 语句允许用户查看账户级信息。这些权限必须位于自己的语句中,因为它们不支持或不需要指定资源 ARN。相反,权限指定 "Resource" : "*"。此语句包括允许用户查看特定信息的以下操作:

    • GetAccountPasswordPolicy – 查看账户密码要求,同时更改他们自己的 IAM 用户密码。

    • GetAccountSummary – 查看账户 ID 和账户的规范用户 ID

  • AllowManageOwnPasswords 语句还允许用户更改他们自己的密码。此语句还包括 GetUser 操作,查看 My Security Credentials (我的安全凭证) 页面上的大多数信息都需要此操作。

  • AllowManageOwnAccessKeys 语句允许用户创建、更新和删除他们自己的访问密钥。

  • AllowManageOwnSSHPublicKeys 语句允许用户上传、更新和删除他们自己的 CodeCommit 的 SSH 公有密钥。

该策略不允许用户查看或管理他们自己的 MFA 设备。他们也不能在 IAM 控制台中查看 Users (用户) 页面,或使用该页面访问自己的用户信息。要允许此操作,请将 iam:ListUsers 操作添加到 AllowViewAccountInfo 语句。它也不允许用户在自己的用户页面上更改密码。要允许此操作,请将 iam:CreateLoginProfileiam:DeleteLoginProfileiam:GetLoginProfileiam:UpdateLoginProfile 操作添加到 AllowManageOwnPasswords 语句。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowViewAccountInfo", "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy", "iam:GetAccountSummary" ], "Resource": "*" }, { "Sid": "AllowManageOwnPasswords", "Effect": "Allow", "Action": [ "iam:ChangePassword", "iam:GetUser" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "AllowManageOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:ListAccessKeys", "iam:UpdateAccessKey" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "AllowManageOwnSSHPublicKeys", "Effect": "Allow", "Action": [ "iam:DeleteSSHPublicKey", "iam:GetSSHPublicKey", "iam:ListSSHPublicKeys", "iam:UpdateSSHPublicKey", "iam:UploadSSHPublicKey" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }