本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Identity and Access Management
<a name="iam"></a>

 Amazon Identity and Access Management (IAM) 使您能够安全地控制用户对中国亚马逊 Web Services 服务和资源的访问权限。借助 IAM，您可以创建和管理中国的亚马逊云科技用户和群组，并使用权限来允许和拒绝他们访问中国亚马逊云科技资源。在某些情况下，您可能还想使用 Amazon Security Token Service，它允许您向可信用户授予对您在中国的 Amazon Web Services 资源的临时有限访问权限。

**Topics**
+ [区域可用性](#feature-regions)
+ [功能可用性和实现差异](#feature-diff)
+ [指南和参考](#feature-guides)
+ [关于中国亚马逊 Web Services 的一般信息](#general-info)

## 区域可用性
<a name="feature-regions"></a>

 Amazon Identity and Access Management 不需要选择区域，但在中国的以下地区可用：
+ 北京区域
+ 宁夏区域

## 功能可用性和实现差异
<a name="feature-diff"></a>

Amazon Web Services 在中国实施的 IAM 在以下方面具有独特性：
+ **用户和证书**-在北京和宁夏区域，没有 “root 用户” 或 “账户用户” 凭证的概念。所有用户都是 IAM 用户，包括创建 账户的用户。管理 IAM 用户可能有权完成需要根用户证书的任务。如果他们不这样做，则必须联系 Support 以完成这些任务。
+  **忘记密码** — 如果北京和宁夏区域的 IAM 用户（包括管理员用户）忘记了密码，他们可以从中重置密码。 Amazon Web Services 管理控制台Amazon 将向与该 Amazon 帐户关联的电子邮件地址发送密码重置链接。管理员不能使用策略拒绝访问此功能，因为请求者尚未登录。 Amazon但是，每个请求都存储为一个 CloudTrail条目。有关更多信息，请参阅 [IAM 证书](https://docs.amazonaws.cn/aws/latest/userguide/accounts-and-credentials.html#iam-credentials)。
+  **没有硬件或 SMS MFA** — 北京和宁夏区域不支持对 IAM 用户使用硬件或 SMS 多因素身份验证 (MFA)。区域支持使用虚拟 MFA。有关使用虚拟 MFA 的信息，请参阅[启用虚拟多重验证 (MFA) 设备](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)。
+  **网络联合身份验证** — 某些网络身份提供商（例如社交媒体平台）可能在北京和宁夏区域不可用。
+ **IAM 控制平面** — 所有中国区域都有一个 IAM 控制平面，位于中国（北京）区域。每个 Amazon Web Services 区域 实体都有一个完全独立的 IAM 数据平面实例。有关更多信息，请参阅 [Amazon Identity and Access Management中的弹性](https://docs.amazonaws.cn/IAM/latest/UserGuide/disaster-recovery-resiliency.html)。
+ **IAM 双栈公有终端节点** — 在中国区域中，IAM 双栈公有终端节点是。`https://iam.global.api.amazonwebservices.com.cn`此端点支持使用 IPv4 或 IPv6 地址的客户端。有关更多信息，请参阅 *IAM 用户指南*中的[双栈终端节点支持](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_dual-stack_endpoint_support.html)。
+ **没有 Amazon STS 全球终端节点** — 在中国区域中， Amazon STS 没有全球终端节点。 Amazon 提供区域 Amazon STS 终端节点。
+ **用于 IAM 的接口 VPC 终端节点** — 在中国（北京）区域，IAM Amazon PrivateLink 的接口 VPC 终端节点服务名称`com.amazonaws.iam`为。由于 IAM 是一项全球服务，因此您只能在 IAM 控制平面所在的 Amazon Web Services 区域 位置为 IAM 创建接口 VPC 终端节点。有关更多信息，请参阅[接口 VPC 终端节点](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_interface_vpc_endpoints.html)。
+ **接口 VPC 终端节点 Amazon STS** — 在中国区域中， Amazon PrivateLink 接口 VPC 终端节点服务名称 Amazon STS `cn.com.amazonaws.region.sts`为。将*区域*替换为您打算创建接口 VPC 终端节点的区域。 Amazon Web Services 区域 有关更多信息，请参阅[接口 VPC 终端节点](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_interface_vpc_endpoints.html)。
+  **Amazon API 签名版本** — 在中国（北京）区域， Amazon STS 终端节点默认仅支持请求签名版本 4 (sigv4)，并且可以更新为同时支持 Sigv4 和签名版本 4A (sigv4A)。支持 sigv4a 算法的会话令牌大于支持 sigv4 的会话令牌，并且与中国（宁夏）区域的终端节点 Amazon STS 发行的令牌大小相匹配，后者已经支持 Sigv4A。更改该设置可能会影响临时存储令牌的现有系统。有关更多信息，请参阅[Amazon STS 在中管理 Amazon Web Services 区域](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html)。
  + 提及 “**仅在默认 Amazon Web Services 区域 启用时有效**” 的文档指的是针对中国（北京）地区 Amazon STS 终端节点的 **Amazon Web Services 请求仅支持基于 SIGV4 的签名**。
  + 提及 Amazon Web Services 区域“**全部**” 的文档**均指中国（北京）区域终端节点 Amazon STS 的 Sigv4 和 Sigv4a 算法**。
+  **策略名称** — IAM 策略名称只能包含以下 Unicode 字符：水平制表符 (x09)、换行符 (x0a)、回车符 (x0D) 以及 x20 到 xFF 范围内的字符。实际上，这意味着您不得在策略名称中使用中文字符。
+  **策略中的服务委托人** — 在委托人为服务的 IAM 策略中，服务主体名称可以包含以下格式，“服务” 替换为服务名称：
  + `service.amazonaws.com`
  + `service.amazonaws.com.cn`

  不要试图猜测服务主体，因为它区分大小写，而且格式可能因 Amazon 服务而异。服务主体由服务定义。要了解某项服务的服务主体，请参阅该服务的文档。对于某些服务，请参阅[Amazon 与 IAM 配合使用的](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)服务，并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接，查看该服务的服务相关角色文档。查看该**服务的 “服务相关角色权限**” 部分以查看服务主体。

  有关更多信息，请参阅[创建角色向 Amazon 服务委派权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_create_for-service.html)和[使用 IAM 角色向在 Amazon EC2 实例上运行的应用程序授予权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/role-usecase-ec2app.html)。
+  **SSH 公钥** — SSH 公钥仅与配合使用 CodeCommit，目前在北京和宁夏区域不可用。
+  在北京区域，**Amazon 资源名称 (ARN) 语法**包括该区域中资源的`aws-cn`分区。例如：`arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Zhang`。
+ 在宁夏区域，**Amazon 资源名称 (ARN) 语法**包括该区域中资源的`aws-cn`分区。例如：`arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Wang`。
+  **切换角色**-在北京区域和宁夏区域，切换到中的角色后 Amazon Web Services 管理控制台，您将无法切换回原始凭证。相反，您必须注销，然后使用所需的凭证再次登录。
+  在北京和宁夏区域，只有部分 Amazon [服务支持服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。有关哪些服务支持使用服务相关角色的信息，请参阅与 [IAM 配合使用的Amazon 服务，](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。要了解服务是否支持特定区域中的服务相关角色，请选择 **Yes (是)** 链接以查看该服务的服务相关角色文档。
+  **Access Analyzer** — 北京和宁夏区域不支持创建未使用的访问分析器或内部访问分析器。北京和宁夏区域不支持创建以组织为信任区的外部访问分析器。北京和宁夏区域确实支持创建以亚马逊 Web Services 账户为信任区的分析器。有关更多信息，请参阅 [Amazon Identity and Access Management Access Analyzer 入门](https://docs.amazonaws.cn/IAM/latest/UserGuide/access-analyzer-getting-started.html)。
+  **上次访问的数据**-不提供有关 IAM 身份（用户、群组或角色）上次尝试通过 IAM 策略授予的权限访问 Amazon 服务的时间。有关更多信息，请参阅[上次访问的服务相关数据](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_access-advisor.html)。
+  **角色上次使用时间**-没有关于上次使用角色的时间的信息。有关更多信息，请参阅[查看角色访问权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)。
+  **自定义策略检查**-北京和宁夏区域不支持自定义策略检查。要了解更多信息，请参阅 [IAM *用户指南*中的 IAM Access Analyzer 自定义策略检查](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_generate-policy.html)。
+  **策略生成**-北京和宁夏区域不支持策略生成。要了解更多信息，请参阅 *IAM 用户指南*中的[基于访问活动生成策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_generate-policy.html)。
+ **随处可见 IAM 角色** — 北京和宁夏区域不支持使用 Amazon 私有证书颁发机构创建信任锚点。北京和宁夏区域确实支持使用您自己的证书颁发机构创建信任锚点。要了解更多信息，请参阅 IAM Anywhere 角色用户指南中的[创建信任锚和个人资料](https://docs.amazonaws.cn/rolesanywhere/latest/userguide/getting-started.html)。

## 指南和参考
<a name="feature-guides"></a>

中国的 Amazon Web Services 用户指南有 HTML 和 PDF 版本，有中文和英文两种版本。API 参考以 HTML 和 PDF 格式提供。有些 API 参考可能仅提供英文版。目前，并非所有 API 参考在北京和宁夏区域都可用。某些 API 参考文献的链接将带您进入全球亚马逊 Web Services 网站。请注意，指南和参考资料中描述的某些特性和功能可能无法在当前的 Amazon Web Services 中国版本中提供。
+  [IAM 用户指南](/IAM/latest/UserGuide/) 
+  [IAM API 参考](/IAM/latest/APIReference/) 

## 关于中国亚马逊 Web Services 的一般信息
<a name="general-info"></a>

 以下信息适用于在中国地区提供的所有 Amazon Web Services。

 **中国地区的亚马逊 Web Services 账户** 

 要在北京和宁夏区域使用服务，您需要一个账户和每个区域的专属证书。
+ 其他 Amazon 地区的账户和凭证不适用于在北京和宁夏区域运营的服务。
+ 北京和宁夏区域的账户和凭证不适用于其他 Amazon 区域。
+ 有关更多信息，请参阅 [注册、账户和证书](accounts-and-credentials.md)。

 **中国亚马逊 Web Services 的域名** 

 中国 Amazon Web Services 的域名**`www.amazonaws.cn`**是。

 **终端节点和 Amazon 资源名称 (ARNs)** 

 有关终端节点和 ARNs 中国的 Amazon Web Services 的信息，[终端节点和 ARNs 适用于中国的 Amazon Web Services](endpoints-arns.md)请参阅。

 **中国区域的可用区** 
+ 在北京区域，有三个可用区。
+ 在宁夏区域，有三个可用区。

 **中国亚马逊 Web Services 的一般信息** 

 以下内容适用于在中国地区提供的所有 Amazon Web Services。有关特定 Amazon Web Services 的详细信息，请参阅本指南中的特定服务主题。
+ Amazon Identity and Access Management (IAM)
  + 您可以使用 `Principal` 策略元素授予或拒绝服务对资源的访问。
  + 服务委托人值因区域而异。
+ 免费使用套餐
  + 有关中国地区的免费套餐优惠和可用性的信息，[请参阅 Amazon Web Services 中国地区免费](https://www.amazonaws.cn/en/free)套餐。

 **亚马逊 Web Services 控制台** 

 中国 Amazon Web Services 的主机是中国独有的。Amazon Web Services 指南中的屏幕截图可能与您在主机上看到的屏幕截图不同。有关服务功能差别的信息，请参阅本指南中针对各项服务的主题。

 **代码示例** 

 Amazon Web Services 文档可能包括非北京和 ARNs 宁夏区域特有的终端节点和代码示例。使用示例时，请确认您使用的是您所在地区的终端节点和 ARNs 终端节点。