本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
比较Amazon Web Services 账户根用户证书和 IAM 用户证书
root 用户是账户所有者,是在以下情况下创建的Amazon Web Services 账户已创建。其他类型的用户,包括 IAM 用户,以及Amazon IAM Identity Center用户由 root 用户或帐户管理员创建。所有 Amazon 用户都具有安全凭证。
根用户凭证
账户拥有者的凭证允许完全访问账户中的所有资源。你不能用IAM 政策明确拒绝 root 用户访问资源。你只能使用Amazon Organizations 服务控制策略 (SCP)限制成员账户的 root 用户的权限。因此,我们建议您在 IAM Identity Center 中创建一个管理用户以供日常使用Amazon任务。然后,保护根用户凭证,仅使用它们执行需要您以 root 用户身份登录的少数账户和服务管理任务。有关这些任务的列表,请参见需要根用户凭证的任务。要了解如何在 IAM 身份中心设置管理员以供日常使用,请参阅入门在里面IAM 身份中心用户指南。
IAM 凭证
IAM 用户是您在其中创建的实体Amazon代表使用 IAM 用户与之交互的个人或服务Amazon资源。这些用户是你内部的身份Amazon Web Services 账户具有特定自定义权限的。例如,您可以创建 IAM 用户并授予他们在 IAM 身份中心创建目录的权限。IAM 用户拥有可用于访问的长期证书Amazon使用Amazon Web Services Management Console,或者以编程方式使用Amazon CLI要么AmazonAPI。对于step-by-step有关 IAM 用户如何登录的说明Amazon Web Services Management Console,参见登录到Amazon Web Services Management Console作为 IAM 用户在里面Amazon登录用户指南。
通常,我们建议您避免创建 IAM 用户,因为他们拥有用户名和密码等长期证书。相反,要求人类用户在访问时使用临时证书Amazon。您可以使用身份提供者为您的人类用户提供联合访问权限Amazon Web Services 账户通过扮演 IAM 角色,提供临时证书。要进行集中访问管理,我们建议您使用IAM 身份中心管理您账户的访问权限和这些账户中的权限。您可以使用 IAM Identity Center 管理您的用户身份,或者从外部身份提供者管理 IAM Identity Center 中用户身份的访问权限。有关更多信息,请参见什么是 IAM 身份中心在里面IAM 身份中心用户指南。
有关角色的更多信息,请参阅 IAM 用户指南中的角色术语和概念。