比较Amazon Web Services 账户根用户凭证与 IAM 用户凭证 - Amazon 账户管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

比较Amazon Web Services 账户根用户凭证与 IAM 用户凭证

根用户是账户所有者,是在创建时创建Amazon Web Services 账户的。其他类型的用户Amazon IAM Identity Center (successor to Amazon Single Sign-On)(包括 IAM 用户和 IAM Identity Center)用户由根用户或账户的管理员创建。所有 Amazon 用户都具有安全凭证。

根用户凭证

账户拥有者的凭证允许完全访问账户中的所有资源。您无法使用 IAM 策略显式拒绝根用户访问资源。您只能使用Amazon Organizations服务控制策略(SCP)来限制成员账户根用户的权限。因此,我们建议您在 IAM Identity Centity Center 中创建一个用于日常Amazon任务的管理用户。然后,请妥善保存根用户凭证,仅用它们执行少数需要您以根用户身份登录的账户和服务管理任务。有关这些任务的列表,请参见需要根用户凭证的任务。要了解如何在 IAM Identity Center 中设置管理员以供日常使用,请参阅Amazon IAM Identity Center (successor to Amazon Single Sign-On)用户指南中的入门指南

IAM 凭证

IAM 用户是您在其中创建的实体Amazon,它表示使用 IAM 用户与Amazon资源交互的人员或服务。这些用户是您内部Amazon Web Services 账户具有特定自定义权限的身份。例如,您可以创建 IAM 用户并授予他们在 IAM Identity Center 中创建目录的权限。IAM 用户拥有长期证书,可用于使用或 APIAmazon 进行访问Amazon Web Services Management Console,或以编程方式使用Amazon CLI或Amazon API 进行访问。有关 IAM 用户如何登录的 step-by-step 说明Amazon Web Services Management Console,请参阅《登录用户指南》中的以 IAM 用户身份Amazon登录

一般而言,我们建议您避免创建 IAM 用户,因为他们具有长期凭证(如用户名和密码)。相反,请要求人类用户在访问时使用临时证书Amazon。您可以使用身份提供商来以担任IAM 角色的形式提供为人类用户提供联合访问Amazon Web Services 账户权限,IAM 角色提供临时凭证。对于集中式访问权限管理,我们建议使用 IAM Identity Center 来管理对您账户的访问权限以及这些账户中的其他权限。您可以使用 IAM Identity Center 管理您的用户身份,或者从外部身份提供者管理 IAM Identity Center 中用户身份的访问权限。有关更多信息,请参阅《Amazon IAM Identity Center (successor to Amazon Single Sign-On) 用户指南》中的什么是 Amazon IAM Identity Center (successor to Amazon Single Sign-On)

有关角色的更多信息,请参阅 IAM 用户指南中的角色术语和概念