中国的 AWS 服务 入门
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Identity and Access Management

AWS Identity and Access Management (IAM) 使您能够安全地控制您的用户对 中国的 AWS 服务 服务和资源的访问权限。您可以使用 IAM 创建和管理 中国的 AWS 服务 用户和组,并使用各种权限来允许或拒绝他们访问 中国的 AWS 服务 资源。在某些情况下,您还可能需要使用 AWS Security Token Service,以便您可以向可信用户授予对 中国的 AWS 服务 资源的临时、有限访问权限。

区域可用性

中国以下区域提供 AWS Identity and Access Management:

  • 北京区域

  • 宁夏区域

功能可用性和实施区别

IAM 的 中国的 AWS 服务 实施在以下方面独一无二:

  • 用户和凭证—在 北京和宁夏 区域中,没有“根”或“账户”用户或凭证的概念。所有用户都是 IAM 用户,包括创建账户的用户。

  • 忘记密码 – 如果 北京和宁夏区域 中的 IAM 用户(包括管理员用户)忘记了密码,可以通过 AWS 管理控制台 重置密码。AWS 将向与 AWS 账户相关联的电子邮件地址方发送一个密码重置链接。管理员无法使用策略拒绝对此功能的访问,因为请求者未登录 AWS。但每个请求均将作为 CloudTrail 条目进行存储。有关更多信息,请参阅 IAM 证书

  • 没有硬件或 SMS MFA—对于 IAM用户,北京和宁夏区域不支持使用硬件或 Multi-Factor Authentication (MFA)。区域支持使用虚拟 MFA。有关使用虚拟 MFA 的信息,请参阅启用虚拟多重验证 (MFA) 设备

  • Web 联合身份验证—某些 Web 联合身份验证提供程序(例如,社交媒体平台)可能在北京和宁夏区域中不可用。

  • AWS API 签名版本—北京和宁夏区域中可用的服务仅支持签名版本 4 的签名。

  • 策略名称—IAM 策略名称只能包含以下 Unicode 字符:水平制表符 (x09)、换行符 (x0A)、回车符 (x0D) 以及 x20 到 xFF 范围内的字符。实际上,这意味着您不得在策略名称中使用中文字符。

  • 策略中的服务委托人—在委托人是服务(例如 Amazon EC2)的 IAM 策略中,服务委托人名称的格式如下,其中“service”替换为服务名称:

    service.amazonaws.com.cn

    有关更多信息,请参阅创建向 AWS 服务委派权限的角色使用 IAM 角色为在 Amazon EC2 实例上运行的应用程序授权

  • SSH 公有密钥—SSH 公有密钥仅与 CodeCommit 结合使用,后者当前在 北京和宁夏 区域中不可用。

  • 在 北京区域 中,Amazon 资源名称 (ARN) 语法aws-cn 分区包含在该区域的资源中。例如:arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Zhang。

  • 在 宁夏区域 中,Amazon 资源名称 (ARN) 语法aws-cn 分区包含在该区域的资源中。例如: arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Wang。

  • 切换角色 – 在 北京区域 和 宁夏区域 中,通过 AWS 管理控制台 切换角色之后,您将无法切换回到原始的凭证。相反,您必须注销,然后使用所需的凭证再次登录。

  • 只有一部分 AWS 服务支持 北京和宁夏区域 中的服务相关角色。有关哪些服务支持使用服务相关角色的信息,请参阅与 IAM 配合使用的 AWS 服务,并查找 Service-Linked Role (服务相关角色) 列为 Yes (是) 的服务。要了解服务是否支持特定区域中的服务相关角色,请选择 Yes (是) 链接以查看该服务的服务相关角色文档。

  • 有关最近一次尝试通过 IAM 策略授予权限访问的 AWS 服务的 IAM 身份(用户,组或角色)不可用。有关更多信息,请参阅上次访问的服务相关数据

指南和参考

中国的 AWS 服务用户指南以 HTML 和 PDF 格式提供,并有中文和英文两种版本。API 参考以 HTML 和 PDF 格式提供。有些 API 参考可能仅提供英文版。目前,并非所有 API 参考都在 北京和宁夏 区域提供。有些 API 参考的链接将指向全球 AWS 网站。请注意,这些指南和参考中所述的部分功能在当前的 中国的 AWS 服务 版本中可能不可用。

有关 中国的 AWS 服务 的一般信息

以下信息适用于 中国区域 中所有可用的 AWS 服务。

中国区域 中的 AWS 账户

要使用 北京和宁夏区域 中的服务,您需要特定于每个区域的账户和凭证。

  • 其他 AWS 区域的账户和凭证不适用于 北京和宁夏区域 中运营的服务。

  • 同样,北京和宁夏区域 的账户和凭证也不适用于其他 AWS 区域。

  • 有关更多信息,请参阅 注册、账户和证书

中国的 AWS 服务 的域

中国的 AWS 服务 的域为 www.amazonaws.cn

终端节点和 Amazon 资源名称 (ARN)

有关 中国的 AWS 服务 中终端阶段和 ARN 的信息,请参阅 中国的 AWS 服务 的终端节点和 ARN

中国区域 的可用区

  • 北京区域 中有两个可用区。

  • 宁夏区域 中有三个可用区。

中国的 AWS 服务 的一般信息

以下内容适用于 中国区域 中所有可用的 AWS 服务。有关特定 AWS 服务的详细信息,请参阅本指南中特定于服务的主题。

  • AWS Identity and Access Management (IAM)

    • 您可以使用 Principal 策略元素授予或拒绝服务对资源的访问。

    • 服务委托人值因区域而异。

  • EC2-Classic 平台

    • 不支持 EC2-Classic 平台。

  • 免费使用套餐

    • 免费使用套餐不适用于 北京和宁夏区域。

AWS 控制台

中国的 AWS 服务 的控制台在中国是唯一的。AWS 指南中的屏幕截图可能与控制台上显示的内容有所不同。有关服务功能差别的信息,请参阅本指南中针对各项服务的主题。

代码示例

AWS 文档可能会在代码示例中包含终端节点和 ARN,这些代码示例并非特定于 北京和宁夏区域。使用示例时,请确认您使用的是适用于您的区域的终端节点和 ARN。