Amazon AWS 入门
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

AWS Identity and Access Management

AWS Identity and Access Management (IAM) 使您能够安全地控制您的用户对 Amazon AWS 服务和资源的访问权限。您可以使用 IAM 创建和管理 Amazon AWS 用户和组,并使用各种权限来允许或拒绝他们访问 Amazon AWS 资源。在某些情况下,您还可能需要使用 AWS Security Token Service,以便您可以向可信用户授予对 Amazon AWS 资源的临时、有限访问权限。

请注意以下 Amazon AWS 实施详情,它们可能与 北京和宁夏区域中的所有服务有关。

  • 要使用 北京和宁夏区域中的服务,您需要特定于 北京和宁夏区域的账户和凭证。其他 AWS 区域的账户和凭证不适用于 北京和宁夏区域中运营的服务。同样,北京和宁夏区域的账户和凭证也不适用于其他 AWS 区域。

  • 北京区域中有两个可用区。

  • 宁夏区域中有三个可用区。

  • 在 AWS Identity and Access Management (IAM) 中,您可使用 Principal 策略元素授予或拒绝授予针对资源的服务访问权限。服务委托人值因区域而异。

  • 北京和宁夏区域的域名是www.amazonaws.cn

  • 在中国(北京)区域和中国 (宁夏) 区域中服务终端节点与其他全局终端节点不同。

    • 北京和宁夏区域 的端点域是 amazonaws.com.cn

    • 对于中国(北京)区域,的终端节点,区域值应是 cn-north-1

    • 对于中国 (宁夏) 区域,的终端节点,区域值应是 cn-northwest-1

    • 例如,北京区域的 Elastic Load Balancing 终端节点是 elasticloadbalancing.cn-north-1.amazonaws.com.cn

    终端节点语法因服务而异。有关更多信息,请参阅中国(北京)中国 (宁夏)和特定于服务的文档。

  • 在中国区域中,Amazon 资源名称 (ARN) 语法包含 cn

    例如:arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Bob

  • EC2-Classic 平台不受支持。

  • AWS Marketplace 不受支持。

  • 中国区域不提供免费使用套餐。

注意

AWS 文档可能会显示端点和 ARN 的代码示例,这些代码不是特定于 北京和宁夏区域。使用示例时,请确认您正在您所在的区域中使用正确的端点和ARN。

语言选项

中文是 Amazon AWS 文档的默认语言。要切换到页面的英文版,请使用页面顶部的语言选择下拉列表。注意:选择其他语言将会更新语言 cookie,使其成为默认语言。

中文 URL 语法:
http://docs.amazonaws.cn/aws/latest/userguide/introduction.html
英文 URL 语法:
http://docs.amazonaws.cn/en_us/aws/latest/userguide/introduction.html

功能可用性和实施区别

IAM 的 Amazon AWS 实施在以下方面独一无二:

  • 用户和凭证—在 北京和宁夏 区域中,没有“根”或“账户”用户或凭证的概念。所有用户都是 IAM 用户,包括创建账户的用户。

  • 没有硬件或 SMS MFA—对于 IAM 用户,北京和宁夏区域不支持使用硬件或 SMS 多重验证 (MFA)。区域支持使用虚拟 MFA。有关使用虚拟 MFA 的信息,请参阅启用虚拟多重验证 (MFA) 设备

  • Web 联合身份验证—某些 Web 联合身份验证提供程序(例如,社交媒体平台)可能在北京和宁夏区域中不可用。

  • AWS API 签名版本—北京和宁夏区域中可用的服务仅支持签名版本 4 的签名。

  • 策略名称—IAM 策略名称只能包含以下 Unicode 字符:水平制表符 (x09)、换行符 (x0A)、回车符 (x0D) 以及 x20 到 xFF 范围内的字符。实际上,这意味着您不得在策略名称中使用中文字符。

  • 策略中的服务委托人—在委托人是服务(例如 Amazon EC2)的 IAM 策略中,服务委托人名称的格式如下,其中“service”替换为服务名称:

    service.amazonaws.com.cn

    有关更多信息,请参阅创建向 AWS 服务委派权限的角色使用 IAM 角色为在 Amazon EC2 实例上运行的应用程序授权

  • SSH 公有密钥—SSH 公有密钥仅与 AWS CodeCommit 结合使用,后者当前在 北京和宁夏 区域中不可用。

  • 在 北京区域 中,Amazon 资源名称 (ARN) 语法aws-cn 分区包含在该区域的资源中。例如:arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Zhang。

  • 在 宁夏区域 中,Amazon 资源名称 (ARN) 语法aws-cn 分区包含在该区域的资源中。例如: arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Wang。

  • 切换角色 – 在 北京区域 和 宁夏区域 中,通过 AWS 管理控制台 切换角色之后,您将无法切换回到原始的凭证。相反,您必须注销,然后使用所需的凭证再次登录。

  • 只有一部分 AWS 服务支持 北京和宁夏区域 中的服务相关角色。有关哪些服务支持使用服务相关角色的信息,请参阅与 IAM 配合使用的 AWS 服务,并查找 Service-Linked Role (服务相关角色) 列为 Yes (是) 的服务。要了解服务是否支持特定区域中的服务相关角色,请选择 Yes (是) 链接以查看该服务的服务相关角色文档。

  • 有关最近一次尝试通过 IAM 策略授予权限访问的 AWS 服务的 IAM 身份 (用户,组或角色)不可用。 有关更多信息,请参阅上次访问的数据服务

用户指南

Amazon AWS 用户指南以 HTML 和 PDF 格式提供,并有中文和英文两种版本。API 指南以 HTML 和 PDF 格式提供,只有英语版本。目前,北京和宁夏区域不提供 API 指南。API 指南的链接会使您进入全球 AWS 站点。请注意,这些指南中所述的部分功能在当前的 Amazon AWS 版本中可能未提供。