本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Identity and Access Management
Amazon Identity and Access Management (IAM) 使您能够安全地控制用户对中国亚马逊 Web Services 服务和资源的访问权限。借助 IAM,您可以创建和管理中国的亚马逊云科技用户和群组,并使用权限来允许和拒绝他们访问中国亚马逊云科技资源。在某些情况下,您可能还想使用 Amazon Security Token Service,它允许您向可信用户授予对您在中国的 Amazon Web Services 资源的临时有限访问权限。
区域可用性
Amazon Identity and Access Management 不需要选择区域,但在中国的以下地区可用:
-
北京区域
-
宁夏区域
功能可用性和实现差异
Amazon Web Services 在中国实施的 IAM 在以下方面具有独特性:
-
用户和证书-在北京和宁夏区域,没有 “root 用户” 或 “账户用户” 凭证的概念。所有用户都是 IAM 用户,包括创建 账户的用户。管理 IAM 用户可能有权完成需要根用户证书的任务。如果他们不这样做,则必须联系 Support 以完成这些任务。
-
忘记密码 — 如果北京和宁夏区域的 IAM 用户(包括管理员用户)忘记了密码,他们可以从中重置密码。 Amazon Web Services Management ConsoleAmazon 将向与该 Amazon 帐户关联的电子邮件地址发送密码重置链接。管理员不能使用策略拒绝访问此功能,因为请求者尚未登录。 Amazon但是,每个请求都存储为一个 CloudTrail条目。有关更多信息,请参阅 IAM 证书。
-
没有硬件或 SMS MFA — 北京和宁夏区域不支持对 IAM 用户使用硬件或 SMS 多因素身份验证 (MFA)。区域支持使用虚拟 MFA。有关使用虚拟 MFA 的信息,请参阅启用虚拟多重验证 (MFA) 设备。
-
网络联合身份验证 — 某些网络身份提供商(例如社交媒体平台)可能在北京和宁夏区域不可用。
-
IAM 控制平面 — 所有中国区域都有一个 IAM 控制平面,位于中国(北京)区域。每个 Amazon Web Services 区域 实体都有一个完全独立的 IAM 数据平面实例。有关更多信息,请参阅 Amazon Identity and Access Management中的弹性。
-
没有 Amazon STS 全球终端节点 — 在中国区域中, Amazon STS 没有全球终端节点。 Amazon 提供区域 Amazon STS 终端节点。
-
用于 IAM 的接口 VPC 终端节点 — 在中国(北京)区域,IAM Amazon PrivateLink 的接口 VPC 终端节点服务名称
com.amazonaws.iam
为。由于 IAM 是一项全球服务,因此您只能在 IAM 控制平面所在的 Amazon Web Services 区域 位置为 IAM 创建接口 VPC 终端节点。有关更多信息,请参阅接口 VPC 终端节点。 -
接口 VPC 终端节点 Amazon STS — 在中国区域中, Amazon PrivateLink 接口 VPC 终端节点服务名称 Amazon STS
cn.com.amazonaws.region.sts
为。将区域替换为您打算创建接口 VPC 终端节点的区域。 Amazon Web Services 区域 有关更多信息,请参阅接口 VPC 终端节点。 -
Amazon API 签名版本 — 在中国(北京)区域, Amazon STS 终端节点默认仅支持请求签名版本 4 (sigv4),并且可以更新为同时支持 Sigv4 和签名版本 4A (sigv4A)。支持 sigv4a 算法的会话令牌大于支持 sigv4 的会话令牌,并且与中国(宁夏)区域的终端节点 Amazon STS 发行的令牌大小相匹配,后者已经支持 Sigv4A。更改该设置可能会影响临时存储令牌的现有系统。有关更多信息,请参阅Amazon STS 在中管理 Amazon Web Services 区域。
-
提及 “仅在默认 Amazon Web Services 区域 启用时有效” 的文档指的是针对中国(北京)地区 Amazon STS 终端节点的 Amazon Web Services 请求仅支持基于 SIGV4 的签名。
-
提及 Amazon Web Services 区域“全部” 的文档均指中国(北京)区域终端节点 Amazon STS 的 Sigv4 和 Sigv4a 算法。
-
-
策略名称 — IAM 策略名称只能包含以下 Unicode 字符:水平制表符 (x09)、换行符 (x0a)、回车符 (x0D) 以及 x20 到 xFF 范围内的字符。实际上,这意味着您不得在策略名称中使用中文字符。
-
策略中的服务委托人 — 在委托人为服务的 IAM 策略中,服务主体名称可以包含以下格式,“服务” 替换为服务名称:
-
service.amazonaws.com
-
service.amazonaws.com.cn
不要试图猜测服务主体,因为它区分大小写,而且格式可能因 Amazon 服务而异。服务主体由服务定义。要了解某项服务的服务主体,请参阅该服务的文档。对于某些服务,请参阅Amazon 与 IAM 配合使用的服务,并在服务相关角色列中查找标有 “是” 的服务。选择是和链接,查看该服务的服务相关角色文档。查看该服务的 “服务相关角色权限” 部分以查看服务主体。
有关更多信息,请参阅创建角色向 Amazon 服务委派权限和使用 IAM 角色向在 Amazon EC2 实例上运行的应用程序授予权限。
-
-
SSH 公钥 — SSH 公钥仅与配合使用 CodeCommit,目前在北京和宁夏区域不可用。
-
在北京区域,Amazon 资源名称 (ARN) 语法包括该区域中资源的
aws-cn
分区。例如:arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Zhang
。 -
在宁夏区域,Amazon 资源名称 (ARN) 语法包括该区域中资源的
aws-cn
分区。例如:arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Wang
。 -
切换角色-在北京区域和宁夏区域,切换到中的角色后 Amazon Web Services Management Console,您将无法切换回原始凭证。相反,您必须注销,然后使用所需的凭证再次登录。
-
在北京和宁夏区域,只有部分 Amazon 服务支持服务相关角色。有关哪些服务支持使用服务相关角色的信息,请参阅与 IAM 配合使用的Amazon 服务,并在服务相关角色列中查找标有 “是” 的服务。要了解服务是否支持特定区域中的服务相关角色,请选择 Yes (是) 链接以查看该服务的服务相关角色文档。
-
访问分析器-北京和宁夏区域不支持创建未使用的访问分析器。北京和宁夏区域不支持创建以组织为信任区的外部访问分析器。北京和宁夏区域确实支持创建以亚马逊 Web Services 账户为信任区的分析器。有关更多信息,请参阅启用访问分析器。
-
上次访问的数据-不提供有关 IAM 身份(用户、群组或角色)上次尝试通过 IAM 策略授予的权限访问 Amazon 服务的时间。有关更多信息,请参阅上次访问的服务相关数据。
-
角色上次使用时间-没有关于上次使用角色的时间的信息。有关更多信息,请参阅查看角色访问权限。
-
自定义策略检查-北京和宁夏区域不支持自定义策略检查。要了解更多信息,请参阅 IAM 用户指南中的 IAM Access Analyzer 自定义策略检查。
-
策略生成-北京和宁夏区域不支持策略生成。要了解更多信息,请参阅 IAM 用户指南中的基于访问活动生成策略。
-
随处可见 IAM 角色 — 北京和宁夏区域不支持使用 Amazon 私有证书颁发机构创建信任锚点。北京和宁夏区域确实支持使用您自己的证书颁发机构创建信任锚点。要了解更多信息,请参阅 IAM Anywhere 角色用户指南中的创建信任锚和个人资料。
指南和参考
中国的 Amazon Web Services 用户指南有 HTML 和 PDF 版本,有中文和英文两种版本。API 参考以 HTML 和 PDF 格式提供。有些 API 参考可能仅提供英文版。目前,并非所有 API 参考在北京和宁夏区域都可用。某些 API 参考文献的链接将带您进入全球亚马逊 Web Services 网站。请注意,指南和参考资料中描述的某些特性和功能可能无法在当前的 Amazon Web Services 中国版本中提供。
关于中国亚马逊 Web Services 的一般信息
以下信息适用于在中国地区提供的所有 Amazon Web Services。
中国地区的亚马逊 Web Services 账户
要在北京和宁夏区域使用服务,您需要一个账户和每个区域的专属证书。
-
其他 Amazon 地区的账户和凭证不适用于在北京和宁夏区域运营的服务。
-
北京和宁夏区域的账户和凭证不适用于其他 Amazon 区域。
-
有关更多信息,请参阅 注册、账户和证书。
中国亚马逊 Web Services 的域名
中国 Amazon Web Services 的域名www.amazonaws.cn
是。
终端节点和 Amazon 资源名称 (ARNs)
有关终端节点和 ARNs 中国的 Amazon Web Services 的信息,终端节点和 ARNs 适用于中国的 Amazon Web Services请参阅。
中国区域的可用区
-
在北京区域,有三个可用区。
-
在宁夏区域,有三个可用区。
中国亚马逊 Web Services 的一般信息
以下内容适用于在中国地区提供的所有 Amazon Web Services。有关特定 Amazon Web Services 的详细信息,请参阅本指南中的特定服务主题。
-
Amazon Identity and Access Management (IAM)
-
您可以使用
Principal
策略元素授予或拒绝服务对资源的访问。 -
服务委托人值因区域而异。
-
-
EC2-经典平台
-
不支持 EC2-Classic 平台。
-
-
免费使用套餐
-
宁夏区域支持免费使用套餐。
-
北京地区不支持免费使用套餐。
-
亚马逊 Web Services 控制台
中国 Amazon Web Services 的主机是中国独有的。Amazon Web Services 指南中的屏幕截图可能与您在主机上看到的屏幕截图不同。有关服务功能差别的信息,请参阅本指南中针对各项服务的主题。
代码示例
Amazon Web Services 文档可能包括非北京和 ARNs 宁夏区域特有的终端节点和代码示例。使用示例时,请确认您使用的是您所在地区的终端节点和 ARNs 终端节点。