Amazon Identity and Access Management - 开始使用 Amazon Web Services(中国)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Identity and Access Management

Amazon Identity and Access Management (IAM) 使您能够安全地控制您的用户对 Amazon Web Services(中国) 服务和资源的访问权限。您可以使用 IAM 创建和管理 Amazon Web Services(中国) 用户和组,并使用各种权限来允许或拒绝他们访问 Amazon Web Services(中国) 资源。在某些情况下,您还可能需要使用 Amazon Security Token Service,以便您可以向可信用户授予对 Amazon Web Services(中国) 资源的临时、有限访问权限。

区域可用性

Amazon Identity and Access Management 不需要区域选择,但在中国的以下区域可用:

  • 北京区域

  • 宁夏区域

功能可用性和实施区别

IAM 的 Amazon Web Services(中国) 实施在以下方面独一无二:

  • 用户和凭证 –在北京和宁夏区域中没有 “根用户” 或 “账户用户” 凭证的概念。所有用户都是IAM用户,包括创建账户的用户。

  • 忘记密码 –如果IAM用户(包括管理员用户)北京和宁夏区域忘记密码,他们可以从Amazon Web Services Management Console。Amazon将密码重置链接发送到与Amazonaccount. 管理员无法使用策略拒绝对此功能的访问,因为请求者未登录Amazon。但是,每个请求都存储为CloudTrail条目。有关更多信息,请参阅 IAM 证书

  • 无硬件或短信 MFA –这些区域有:北京和宁夏区域不支持使用硬件或 SMS 多重验证 (MFA)IAM用户。区域支持使用虚拟 MFA。有关使用虚拟 MFA 的信息,请参阅启用虚拟多重验证 (MFA) 设备

  • Web 联合身份 –某些 Web 联合身份验证提供程序(例如,社交媒体平台)可能在北京和宁夏区域。

  • AmazonAPI 签名版本 –提供的服务北京和宁夏区域仅支持签名版本 4 的签名。

  • 策略名称 – IAM策略名称只能包含以下 Unicode 字符:水平制表符 (x09)、换行符 (x0A)、回车符 (x0D) 以及 x20 到 xFF 范围内的字符。实际上,这意味着您不得在策略名称中使用中文字符。

  • 策略中的服务主体 –InIAM策略中委托人是服务,服务委托人名称可以包含以下格式,其中 “service” 替换为服务名称:

    service.amazonaws.com
    service.amazonaws.com.cn
    注意

    请勿尝试猜测服务委托人,因为它区分大小写,并且格式会因 Amazon 服务而异。服务委托人由服务定义。要了解某项服务的服务委托人,请参阅该服务的文档。有关某些服务,请参阅Amazon使用的服务并寻找具有中的服务相关角色column. 选择 Yes 与查看该服务的服务相关角色文档的链接。查看服务相关角色权限部分查看服务委托人。

    有关更多信息,请参阅 。创建向Amazon服务使用 IAM 角色向在 Amazon EC2 实例上运行的应用程序授予权限

  • SSH 公钥 –SSH 公钥仅与CodeCommit,该操作目前在北京和宁夏区域。

  • 在 北京区域 中,Amazon 资源名称 (ARN) 语法aws-cn 分区包含在该区域的资源中。例如:arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Zhang。

  • 在 宁夏区域 中,Amazon 资源名称 (ARN) 语法aws-cn 分区包含在该区域的资源中。例如: arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Wang。

  • 切换角色 –在北京区域和宁夏区域中的角色后,切换为Amazon Web Services Management Console,则不能切换回您的原始凭证。相反,您必须注销,然后使用所需的凭证再次登录。

  • 只有一些Amazon服务支持服务相关角色中的北京和宁夏区域。有关使用服务相关角色支持哪些服务的信息,请参阅Amazon使用的服务并寻找具有中的服务相关角色列。要了解服务是否支持特定区域中的服务相关角色,请选择 Yes (是) 链接以查看该服务的服务相关角色文档。

  • 访问分析器 – 北京和宁夏区域 不支持创建使用某个组织作为信任区域的分析器。这些区域有:北京和宁夏区域支持创建使用Amazon Web Services账户作为信任区域。有关更多信息,请参阅启用访问分析器

  • 上次访问数据 –有关何时IAM身份(用户、组或角色)上次尝试访问Amazon服务通过IAM策略不可用。有关更多信息,请参阅上次访问的服务相关数据

  • 上次使用的角色 –上次使用角色的时间信息不可用。有关更多信息,请参阅 。查看角色访问

  • 策略生成 –策略生成不受支持北京和宁夏区域。要了解更多信息,请参阅基于访问活动生成策略中的IAM用户指南

指南和参考

Amazon Web Services(中国)用户指南以 HTML 和 PDF 格式提供,并有中文和英文两种版本。API 参考以 HTML 和 PDF 格式提供。有些 API 参考可能仅提供英文版。目前,并非所有 API 参考都在 北京和宁夏 区域提供。有些 API 参考的链接将指向全球 Amazon Web Services 网站。请注意,这些指南和参考中所述的部分功能在当前的 Amazon Web Services(中国) 版本中可能不可用。

有关 Amazon Web Services(中国) 的一般信息

以下信息适用于 中国区域 中所有可用的 Amazon Web Services。

中国区域 中的 Amazon Web Services 账户

要使用 北京和宁夏区域 中的服务,您需要特定于每个区域的账户和凭证。

  • 其他 Amazon 区域的账户和凭证不适用于 北京和宁夏区域 中运营的服务。

  • 同样,北京和宁夏区域 的账户和凭证也不适用于其他 Amazon 区域。

  • 有关更多信息,请参阅 注册、账户和证书

Amazon Web Services(中国) 的域

Amazon Web Services(中国) 的域为 www.amazonaws.cn

终端节点和 Amazon 资源名称 (ARN)

有关 Amazon Web Services(中国) 中终端阶段和 ARN 的信息,请参阅 端点和 ARN 适用于Amazon Web Services(中国)

中国区域 的可用区

  • 北京区域 中有三个可用区。

  • 宁夏区域 中有三个可用区。

Amazon Web Services(中国) 的一般信息

以下内容适用于 中国区域中所有可用的 Amazon Web Services。有关特定 Amazon Web Services 的详细信息,请参阅本指南中特定于服务的主题。

  • Amazon Identity and Access Management (IAM)

    • 您可以使用 Principal 策略元素授予或拒绝服务对资源的访问。

    • 服务委托人值因区域而异。

  • EC2-Classic 平台

    • 不支持 EC2-Classic 平台。

  • 免费使用套餐

    • 宁夏区域中支持免费使用套餐。

    • 北京区域中不支持免费使用套餐。

Amazon Web Services 控制台

Amazon Web Services(中国) 的控制台在中国是唯一的。Amazon Web Services 指南中的屏幕截图可能与控制台上显示的内容有所不同。有关服务功能差别的信息,请参阅本指南中针对各项服务的主题。

代码示例

Amazon Web Services 文档可能会在代码示例中包含终端节点和 ARN,这些代码示例并非特定于 北京和宁夏区域。使用示例时,请确认您使用的是适用于您的区域的终端节点和 ARN。