本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Identity and Access Management
Amazon Identity and Access Management(IAM) 使您能够安全地控制用户对中国的 Amazon Web Sertificate (亚马逊云科技服务) 服务相关服务及资源的访问权限。您可以使用 IAM 创建和管理中国的 Amazon Web Sertificate 创建和管理亚马逊云科技服务中国用户和组,并使用各种权限来允许或拒绝他们访问中国的 Amazon Web Services ertificate Certificate ( 在某些情况下,您可能还想使用Amazon Security Token Service,它允许您向可信用户授予对您的亚马逊中国网络服务资源的临时、有限访问权限。
区域可用性
Amazon Identity and Access Management 不需要区域选择,但在中国的以下区域可用:
-
北京地区
-
宁夏区域
功能可用性和实现差异
Amazon Web Services 在中国实施 IAM 的独特之处体现在以下方面:
-
用户和证书-在北京和宁夏区域区域,没有 “根用户” 或 “账户用户” 证书的概念。所有用户都是 IAM 用户,包括创建 账户的用户。IAM 管理用户可能有权完成需要根用户证书的任务。如果他们不这样做,则必须联系Support 部门才能完成这些任务。
-
忘记密码-如果北京和宁夏区域的 IAM 用户(包括管理员用户)忘记了密码,他们可以从中重置密码Amazon Web Services Management Console。 Amazon将向与该Amazon账户关联的电子邮件地址发送密码重置链接。管理员无法使用策略拒绝访问此功能,因为请求者未登录Amazon。但是,每个请求都存储为一个 CloudTrail 条目。有关更多信息,请参阅IAM 凭证:
-
没有硬件或 SMS MFA — 北京和宁夏区域不支持对 IAM 用户使用硬件或 SMS 多重身份验证 (MFA)。区域支持使用虚拟 MFA。有关使用虚拟 MFA 的信息,请参阅启用虚拟多重验证 (MFA) 设备。
-
Web 联合身份验证 — 某些 Web 身份提供商,例如社交媒体平台,可能在北京和宁夏区域不可用。
-
AmazonAPI 签名版本 — 北京和宁夏区域提供的服务仅支持签名版本 4 签名。
-
策略名称 — IAM 策略名称只能包含以下 Unicode 字符:水平制表符(x09)、换行符(x0a)、回车符(x0D)以及 x20 到 xFF 范围内的字符。实际上,这意味着您不得在策略名称中使用中文字符。
-
策略中的服务主体-在委托人是服务的 IAM 策略中,服务主体名称可以包含以下格式,“服务” 替换为服务名称:
service.amazonaws.com
service.amazonaws.com.cn
注意 请勿尝试猜测服务主体,因为它区分大小写,并且格式会因 Amazon 服务而异。服务主体由服务定义。要了解某项服务的服务主体,请参阅该服务的文档。对于某些服务,请参阅与 IAM 配合Amazon使用的服务相关角色服务相关角色的服务相关角色列为 Yes (服务相关角色) 的服务,请参阅与 IAM 配合使用的服务相关角色相关角色列为 Yes 请选择 Yes 与查看该服务的服务相关角色文档的链接。查看该服务相关角色权限部分,查看服务相关角色权限部分,查看服务相关角色权限部分,查看服务相关角色权限部分,
有关更多信息,请参阅创建向Amazon服务委派权限的角色和使用 IAM 角色向在 Amazon EC2 实例上运行的应用程序授予权限。
-
SSH 公钥 — SSH 公钥只能与一起使用 CodeCommit,目前在北京和宁夏区域不可用。
-
在北京区域,Amazon 资源名称 (ARN) 语法包括该区域中资源的
aws-cn
分区。例如:arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Zhang。 -
在宁夏区域,Amazon 资源名称 (ARN) 语法包括该区域中资源的
aws-cn
分区。例如: arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Wang。 -
切换角色-在北京区域和宁夏区域,切换到中的角色后Amazon Web Services Management Console,您将无法切换回原始证书。相反,您必须注销,然后使用所需的凭证再次登录。
-
只有部分Amazon服务相关角色在北京和宁夏区域提供。有关哪些服务相关角色支持使用服务相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关角色相关Amazon 要了解服务是否支持特定区域中的服务相关角色,请选择 Yes (是) 链接以查看该服务的服务相关角色文档。
-
访问分析器 — 北京和宁夏区域不支持创建以组织为信任区的分析器。北京和宁夏区域确实支持创建以 Amazon Web Services 账户作为信任区域的分析器。有关更多信息,请参阅启用访问分析器。
-
上次访问数据-关于 IAM 身份(用户、组或角色)上次尝试通过 IAM 策略授予的权限访问Amazon服务相关服务的数据不可用。有关更多信息,请参阅上次访问的服务相关数据。
-
上次使用的角色-有关上次使用角色时间时间相关角色时间相关角色时间相关角色时间相关角色时间相关角色相关角色时间相关角色相关角色 有关更多信息,请参阅查看查看角色访问权限,请参阅查看查看角色访问权限,请参阅查看
-
策略生成-北京和宁夏区域不支持策略生成,北京和宁夏区域区域不支持策略生成。要了解更多信息,请参阅 IAM 用户指南中的基于访问活动生成策略。
-
任何地方的 IAM 角色 — 北京和宁夏区域不支持 IAM 角色 Anywhere。要了解更多信息,请参阅 IAM 用户指南中的为非Amazon工作负载提供访问权限。
指南和参考
Amazon Web Services 中国用户指南以 HTML 和 PDF 格式提供,有中文和英文两种版本。API 参考以 HTML 和 PDF 格式提供。有些 API 参考可能仅提供英文版。目前,并非所有 API 参考资料在北京和宁夏区域提供。指向某些 API 参考的链接将带您进入全球Amazon Web Services 网站。请注意,指南和参考资料中描述的某些特性和功能在当前的Amazon Web Services 中国版本中可能不可用。
中国的 Amazon Web Services ate
以下信息适用于在中国地区可用的所有 Amazon Web Services Certificate
中国地区的Amazon Web Services 账户
要在北京和宁夏区域使用服务,您需要一个特定于北京和宁夏区域区域区域的服务,您需要一个特定于北京和宁夏区域区域区域的服务,您需要每个区域特定的账户和证书,
-
其他Amazon区域的 Authority
-
北京和宁夏区域的账户和证书不适用于其他Amazon区域。
-
有关更多信息,请参阅 注册、账户和证书
中国Amazon Web Services 域名
中国的 Amazon Web Services ate Sertif www.amazonaws.cn
ice
终端节点和 Amazon 资源名称 (ARN)
有关中国的 Amazon Web Sertificate 和 AAmazon Web Services Sertificate (Amazon Web Services 在中国的终端节点和 ARN
中国地区的可用区
-
在北京区域,有三个可用区。
-
在宁夏区域,有三个可用区。
中国Amazon Web Services 的一般信息
以下内容适用于在中国地区可用的所有 Amazon Web Services tificate Certificate Certific 有关特定Amazon Web Services 详细信息,请参阅本指南中的特定服务主题。
-
Amazon Identity and Access Management (IAM)
-
您可以使用
Principal
策略元素授予或拒绝服务对资源的访问。 -
服务委托人值因区域而异。
-
-
EC2-Classic 平台
-
不支持 EC2-Classic 平台。
-
-
免费使用套餐
-
宁夏区域支持免费使用套餐。
-
北京区域不支持免费使用套餐。
-
Amazon Web Services 控制台
中国的 Amazon Web Services ate Sertificate Certific Amazon Web Services 指南中的屏幕截图可能与您在主机上看到的屏幕截图不同。有关服务功能差别的信息,请参阅本指南中针对各项服务的主题。
代码示例
Amazon Web Services 文档的代码示例中可能包含终端节点和 ARN,这些终端节点和非北京和宁夏地区特有。使用示例时,请确认您使用的是适用于您的区域的终端节点和 ARN。