Amazon Identity and Access Management - 中国亚马逊 Web Services 入门
区域可用性功能可用性和实现差异指南和参考关于中国亚马逊 Web Services 的一般信息
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Identity and Access Management

Amazon Identity and Access Management (IAM) 使您能够安全地控制用户对中国亚马逊 Web Services 服务和资源的访问权限。借助 IAM,您可以创建和管理中国的亚马逊云科技用户和群组,并使用权限来允许和拒绝他们访问中国亚马逊云科技资源。在某些情况下,您可能还想使用 Amazon Security Token Service,它允许您向可信用户授予对您在中国的 Amazon Web Services 资源的临时有限访问权限。

区域可用性

Amazon Identity and Access Management 不需要选择区域,但在中国的以下地区可用:

  • 北京区域

  • 宁夏区域

功能可用性和实现差异

Amazon Web Services 在中国实施的 IAM 在以下方面具有独特性:

  • 用户和证书-在北京和宁夏区域,没有 “root 用户” 或 “账户用户” 凭证的概念。所有用户都是 IAM 用户,包括创建 账户的用户。管理 IAM 用户可能有权完成需要根用户证书的任务。如果他们不这样做,则必须联系 Support 以完成这些任务。

  • 忘记密码 — 如果北京和宁夏区域的 IAM 用户(包括管理员用户)忘记了密码,他们可以从中重置密码。 Amazon Web Services Management ConsoleAmazon 将向与该 Amazon 帐户关联的电子邮件地址发送密码重置链接。管理员不能使用策略拒绝访问此功能,因为请求者尚未登录。 Amazon但是,每个请求都存储为一个 CloudTrail条目。有关更多信息,请参阅 IAM 证书

  • 没有硬件或 SMS MFA — 北京和宁夏区域不支持对 IAM 用户使用硬件或 SMS 多因素身份验证 (MFA)。区域支持使用虚拟 MFA。有关使用虚拟 MFA 的信息,请参阅启用虚拟多重验证 (MFA) 设备

  • 网络联合身份验证 — 某些网络身份提供商(例如社交媒体平台)可能在北京和宁夏区域不可用。

  • IAM 控制平面 — 所有中国区域都有一个 IAM 控制平面,位于中国(北京)区域。每个 Amazon Web Services 区域 实体都有一个完全独立的 IAM 数据平面实例。有关更多信息,请参阅 Amazon Identity and Access Management中的弹性

  • 没有 Amazon STS 全球终端节点 — 在中国区域中, Amazon STS 没有全球终端节点。 Amazon 提供区域 Amazon STS 终端节点。

  • 用于 IAM 的接口 VPC 终端节点 — 在中国(北京)区域,IAM Amazon PrivateLink 的接口 VPC 终端节点服务名称com.amazonaws.iam为。由于 IAM 是一项全球服务,因此您只能在 IAM 控制平面所在的 Amazon Web Services 区域 位置为 IAM 创建接口 VPC 终端节点。有关更多信息,请参阅接口 VPC 终端节点

  • 接口 VPC 终端节点 Amazon STS — 在中国区域中, Amazon PrivateLink 接口 VPC 终端节点服务名称 Amazon STS cn.com.amazonaws.region.sts为。将区域替换为您打算创建接口 VPC 终端节点的区域。 Amazon Web Services 区域 有关更多信息,请参阅接口 VPC 终端节点

  • Amazon API 签名版本 — 在中国(北京)区域, Amazon STS 终端节点默认仅支持请求签名版本 4 (sigv4),并且可以更新为同时支持 Sigv4 和签名版本 4A (sigv4A)。支持 sigv4a 算法的会话令牌大于支持 sigv4 的会话令牌,并且与中国(宁夏)区域的终端节点 Amazon STS 发行的令牌大小相匹配,后者已经支持 Sigv4A。更改该设置可能会影响临时存储令牌的现有系统。有关更多信息,请参阅Amazon STS 在中管理 Amazon Web Services 区域

    • 提及 “仅在默认 Amazon Web Services 区域 启用时有效” 的文档指的是针对中国(北京)地区 Amazon STS 终端节点的 Amazon Web Services 请求仅支持基于 SIGV4 的签名

    • 提及 Amazon Web Services 区域“全部” 的文档均指中国(北京)区域终端节点 Amazon STS 的 Sigv4 和 Sigv4a 算法

  • 策略名称 — IAM 策略名称只能包含以下 Unicode 字符:水平制表符 (x09)、换行符 (x0a)、回车符 (x0D) 以及 x20 到 xFF 范围内的字符。实际上,这意味着您不得在策略名称中使用中文字符。

  • 策略中的服务委托人 — 在委托人为服务的 IAM 策略中,服务主体名称可以包含以下格式,“服务” 替换为服务名称:

    • service.amazonaws.com

    • service.amazonaws.com.cn

    不要试图猜测服务主体,因为它区分大小写,而且格式可能因 Amazon 服务而异。服务主体由服务定义。要了解某项服务的服务主体,请参阅该服务的文档。对于某些服务,请参阅Amazon 与 IAM 配合使用的服务,并在服务相关角色列中查找标有 “” 的服务。选择和链接,查看该服务的服务相关角色文档。查看该服务的 “服务相关角色权限” 部分以查看服务主体。

    有关更多信息,请参阅创建角色向 Amazon 服务委派权限使用 IAM 角色向在 Amazon EC2 实例上运行的应用程序授予权限

  • SSH 公钥 — SSH 公钥仅与配合使用 CodeCommit,目前在北京和宁夏区域不可用。

  • 在北京区域,Amazon 资源名称 (ARN) 语法包括该区域中资源的aws-cn分区。例如:arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Zhang

  • 在宁夏区域,Amazon 资源名称 (ARN) 语法包括该区域中资源的aws-cn分区。例如:arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Wang

  • 切换角色-在北京区域和宁夏区域,切换到中的角色后 Amazon Web Services Management Console,您将无法切换回原始凭证。相反,您必须注销,然后使用所需的凭证再次登录。

  • 在北京和宁夏区域,只有部分 Amazon 服务支持服务相关角色。有关哪些服务支持使用服务相关角色的信息,请参阅与 IAM 配合使用的Amazon 服务,并在服务相关角色列中查找标有 “” 的服务。要了解服务是否支持特定区域中的服务相关角色,请选择 Yes (是) 链接以查看该服务的服务相关角色文档。

  • 访问分析器-北京和宁夏区域不支持创建未使用的访问分析器。北京和宁夏区域不支持创建以组织为信任区的外部访问分析器。北京和宁夏区域确实支持创建以亚马逊 Web Services 账户为信任区的分析器。有关更多信息,请参阅启用访问分析器

  • 上次访问的数据-不提供有关 IAM 身份(用户、群组或角色)上次尝试通过 IAM 策略授予的权限访问 Amazon 服务的时间。有关更多信息,请参阅上次访问的服务相关数据

  • 角色上次使用时间-没有关于上次使用角色的时间的信息。有关更多信息,请参阅查看角色访问权限

  • 自定义策略检查-北京和宁夏区域不支持自定义策略检查。要了解更多信息,请参阅 IAM 用户指南中的 IAM Access Analyzer 自定义策略检查

  • 策略生成-北京和宁夏区域不支持策略生成。要了解更多信息,请参阅 IAM 用户指南中的基于访问活动生成策略

  • 随处可见 IAM 角色 — 北京和宁夏区域不支持使用 Amazon 私有证书颁发机构创建信任锚点。北京和宁夏区域确实支持使用您自己的证书颁发机构创建信任锚点。要了解更多信息,请参阅 IAM Anywhere 角色用户指南中的创建信任锚和个人资料

指南和参考

中国的 Amazon Web Services 用户指南有 HTML 和 PDF 版本,有中文和英文两种版本。API 参考以 HTML 和 PDF 格式提供。有些 API 参考可能仅提供英文版。目前,并非所有 API 参考在北京和宁夏区域都可用。某些 API 参考文献的链接将带您进入全球亚马逊 Web Services 网站。请注意,指南和参考资料中描述的某些特性和功能可能无法在当前的 Amazon Web Services 中国版本中提供。

关于中国亚马逊 Web Services 的一般信息

以下信息适用于在中国地区提供的所有 Amazon Web Services。

中国地区的亚马逊 Web Services 账户

要在北京和宁夏区域使用服务,您需要一个账户和每个区域的专属证书。

  • 其他 Amazon 地区的账户和凭证不适用于在北京和宁夏区域运营的服务。

  • 北京和宁夏区域的账户和凭证不适用于其他 Amazon 区域。

  • 有关更多信息,请参阅 注册、账户和证书

中国亚马逊 Web Services 的域名

中国 Amazon Web Services 的域名www.amazonaws.cn是。

终端节点和 Amazon 资源名称 (ARNs)

有关终端节点和 ARNs 中国的 Amazon Web Services 的信息,终端节点和 ARNs 适用于中国的 Amazon Web Services请参阅。

中国区域的可用区

  • 在北京区域,有三个可用区。

  • 在宁夏区域,有三个可用区。

中国亚马逊 Web Services 的一般信息

以下内容适用于在中国地区提供的所有 Amazon Web Services。有关特定 Amazon Web Services 的详细信息,请参阅本指南中的特定服务主题。

  • Amazon Identity and Access Management (IAM)

    • 您可以使用 Principal 策略元素授予或拒绝服务对资源的访问。

    • 服务委托人值因区域而异。

  • EC2-经典平台

    • 不支持 EC2-Classic 平台。

  • 免费使用套餐

    • 宁夏区域支持免费使用套餐。

    • 北京地区不支持免费使用套餐。

亚马逊 Web Services 控制台

中国 Amazon Web Services 的主机是中国独有的。Amazon Web Services 指南中的屏幕截图可能与您在主机上看到的屏幕截图不同。有关服务功能差别的信息,请参阅本指南中针对各项服务的主题。

代码示例

Amazon Web Services 文档可能包括非北京和 ARNs 宁夏区域特有的终端节点和代码示例。使用示例时,请确认您使用的是您所在地区的终端节点和 ARNs 终端节点。