获取Amazon Web Services 账户和您的根用户凭证创建 IAM 用户作为 IAM 用户登录创建 IAM 用户访问密钥

Amazon Cognito 入门

本节介绍首要 Amazon Cognito 任务以及从何处入手。有关 Amazon Cognito 的概述，请参阅什么是 Amazon Cognito？。

Amazon Cognito 的两个主要组件是用户池和身份池。用户池是为您的 Web 和移动应用程序用户提供注册和登录选项的用户目录。身份池提供Amazon凭证以向用户授予对其他Amazon服务的访问权限。您可以单独使用或配合使用用户池和身份池。

首要任务和开始位置
使用用户池添加注册和登录
使用用户池创建用户目录。添加应用程序以启用托管 UI。向用户池添加社交登录。向用户池添加通过基于 SAML 的身份提供商 (IdP) 进行的登录。向用户池添加通过 OpenID Connect (OIDC) IdP 进行的登录。安装用户池开发工具包。自定义内置托管 Web UI 登录页面和注册页面。配置用户池安全功能。使用 Lambda 触发器自定义用户池工作流程。使用 Amazon Pinpoint 分析收集数据和目标活动。
在用户池中管理用户
注册并确认用户账户。以管理员身份创建用户账户。管理和搜索用户账户。向用户池添加组。将用户导入到用户池。
访问资源
常见的 Amazon Cognito 场景：使用用户池进行身份验证。通过用户池访问后端资源。通过用户池访问 API Gateway 和 Lambda。通过用户池和身份池访问Amazon服务。通过第三方和身份池访问Amazon服务。通过用户池或身份池访问 Amazon AppSync 资源。

要访问Amazon，您必须注册一个Amazon Web Services 账户。

注册 Amazon Web Services 账户

打开 https://portal.aws.amazon.com/billing/signup。
按照屏幕上的说明进行操作。

在注册时，您将接到一通电话，要求您使用电话键盘输入一个验证码。

Amazon注册过程完成后，会向您发送一封确认电子邮件。在任何时候，您都可以通过转至 https://aws.amazon.com/ 并选择 My Account (我的账户) 来查看当前的账户活动并管理您的账户。

创建 IAM 用户

如果您的账户中已包含具有完整Amazon管理权限的 IAM 用户，则可以跳过此部分。

首次创建 Amazon Web Services (Amazon) 账户时，您将以单一登录身份开始。此身份具有对账户中所有 Amazon Web Services和资源的完全访问权限。此身份称作 Amazon Web Services 账户根用户。在登录时，请输入您用于创建账户的电子邮件地址和密码。

重要

强烈建议您不使用根用户执行日常任务，即使是管理任务。相反，请遵循仅使用根用户创建您的第一个 IAM 用户的最佳实践。然后请妥善保存根用户凭证，仅用它们执行少数账户和服务管理任务。要查看需要您以根用户身份登录的任务，请参阅需要根用户凭证的任务。

自行创建管理员用户并将该用户添加到管理员组 (控制台)

选择根用户并输入您的 Amazon Web Services 账户电子邮件地址，以账户拥有者身份登录 IAM 控制台。在下一页上，输入您的密码。

注意
强烈建议您遵守以下使用 Administrator IAM 用户的最佳实践，妥善保存根用户凭证。只在执行少数账户和服务管理任务时才作为根用户登录。
在导航窗格中，选择用户，然后选择添加用户。
对于用户名，输入 Administrator。
选中 Amazon Web Services Management Console 访问旁边的复选框。然后选择自定义密码，并在文本框中输入新密码。
（可选）预设情况下，Amazon 要求新用户在首次登录时创建新密码。您可以清除用户必须在下次登录时创建新密码旁边的复选框以允许新用户在登录后重置其密码。
选择下一步: 权限。
在设置权限下，选择将用户添加到组。
选择创建组。
在创建组对话框中，对于组名称，输入 Administrators。
选择筛选策略，然后选择 Amazon 托管的工作职能以筛选表内容。
在策略列表中，选中 AdministratorAccess 的复选框。然后选择创建组。

注意
您必须先激活 IAM 用户和角色对账单的访问权限，然后才能使用 AdministratorAccess 权限访问 Amazon Billing and Cost Management 控制台。为此，请按照“向账单控制台委派访问权限”教程第 1 步中的说明进行操作。
返回到组列表中，选中您的新组所对应的复选框。如有必要，选择刷新以在列表中查看该组。
选择下一步: 标签。
(可选) 通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息，请参阅 IAM 用户指南中的标记 IAM 实体。
选择下一步：审核以查看要添加到新用户的组成员资格的列表。如果您已准备好继续，请选择创建用户。

您可使用这一相同的流程创建更多组和用户，并允许您的用户访问 Amazon Web Services 账户资源。要了解有关使用策略限制用户对特定 Amazon 资源的权限的信息，请参阅访问管理和示例策略。

通过选择 IAM user (IAM 用户) 并输入您的Amazon Web Services 账户 ID 或账户别名来登录 IAM 控制台。在下一页上，输入您的 IAM 用户名和密码。

注意

为方便起见，Amazon登录页面使用浏览器 Cookie 记住您的 IAM 用户名和账户信息。如果您之前以其他用户身份登录过，请选择此按钮下面的登录链接，返回登录主页。在此处，您可以输入要重新导向到您账户 IAM 用户登录页面的 Amazon Web Services 账户 ID 或账户别名。

创建 IAM 用户访问密钥

访问密钥包含访问密钥 ID 和秘密访问密钥，用于签署对发出的编程请求Amazon 如果没有访问密钥，您可以使用进行创建Amazon Web Services Management Console。作为最佳实践，请勿在不必要时对任何任务使用Amazon Web Services 账户根用户访问密钥。而是为自己创建一个具有访问密钥的新管理员 IAM 用户。

仅当创建访问密钥时，您才能查看或下载秘密访问密钥。以后您无法恢复它们。不过，您随时可以创建新的访问密钥。您还必须拥有执行所需 IAM 操作的权限。有关更多信息，请参阅 IAM 用户指南中的访问 IAM 资源所需的权限。

为 IAM 用户创建访问密钥

登录 Amazon Web Services Management Console，单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。
在导航窗格中，选择 Users (用户)。
选择要为其创建访问密钥的用户的名称，然后选择 Security credentials (安全凭证) 选项卡。
在 Access keys(访问密钥) 部分，选择 Create access key (创建访问密钥)。
要查看新访问密钥对，请选择 Show (显示)。关闭此对话框后，您将无法再次访问该秘密访问密钥。您的凭证与下面类似：
- 访问密钥 ID：AKIAIOSFODNN7EXAMPLE
- 秘密访问密钥：wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
要下载密钥对，请选择 Download .csv file (下载 .csv 文件)。将密钥存储在安全位置。关闭此对话框后，您将无法再次访问该秘密访问密钥。

请对密钥保密以保护您的Amazon Web Services 账户，切勿通过电子邮件发送密钥。请勿对企业外部共享密钥，即使有来自 Amazon 或 Amazon.com 的询问。合法代表 Amazon 的任何人永远都不会要求您提供密钥。
下载 .csv 文件之后，选择 Close (关闭)。在创建访问密钥时，预设情况下，密钥对处于活动状态，并且您可以立即使用此密钥对。