Task 2:创建用户和分配权限 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Task 2:创建用户和分配权限

为需要访问 AWS Systems Manager 的个人创建 IAM 用户,然后将每个用户添加到相应的用户组,以确保他们具有合适的权限级别。

注意

如果您的组织有现在的身份系统,您可能需要创建单一登录 (SSO) 选项。SSO 向用户提供对您账户的 AWS 管理控制台的访问权限,而不要求他们具有 IAM 用户身份。SSO 也无需用户单独登录您的组织的网站和 AWS。有关更多信息,请参阅 。允许自定义身份代理访问 AWS 控制台

根据是否已创建此组的用户账户,请使用以下过程之一:

创建用户并添加权限

  1. 在 IAM 控制台的导航窗格中,选择 Users (用户),然后选择 Add user (添加用户)

  2. 适用于用户名中,输入您将用于登录 AWS Systems Manager 的用户的名称。

  3. 要允许用户访问 AWS API、AWS CLI、AWS 开发工具包和其他开发工具,请选中方案访问

    这会为新用户创建访问密钥。您可以在转到 Final 页面后查看或下载访问密钥。

  4. 要允许用户访问 AWS 管理控制台,请选中AWS 管理控制台访问

    AWS 管理控制台提供 Web 界面,供您管理计算、存储和其他云资源。在 AWS 管理控制台中,每个服务均拥有各自的控制台。例如,您可以使用 Amazon EC2 控制台和通过 Amazon S3 控制台管理计算资源。

    如果您选择 Custom password (自定义密码),请输入该用户的初始密码。您可以选择 Require password reset (需要重置密码) 以强制用户在下次登录时创建新密码。

  5. 选择后续:权限。

  6. Set permissions for user 页面上,选择 Add user to group

  7. 在组列表中,选择要将用户添加到的用户组,然后选择后续:标签

  8. (可选)添加一个或多个标签键/值对以组织、跟踪或控制该用户的访问,然后选择后续:审核以查看新用户正在加入的组成员资格的列表。

  9. 选择 Create user

  10. 要查看用户的访问密钥(访问密钥 ID 和秘密访问密钥),请选择您要查看的每个密码和访问密钥旁边的显示。要保存访问密钥,请选择 Download .csv,然后将文件保存到安全位置。

    重要

    这是您查看或下载秘密访问密钥的唯一机会,您必须向用户提供此信息,他们才能使用 AWS API 或 AWS CLI。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些秘密访问密钥。

  11. 为每个用户提供各自的凭证。在最后的页面上,您可以选择每个用户旁边的 Send email。您的本地邮件客户端将打开并显示一份草稿,您可以对草稿进行自定义并发送。电子邮件模板包括每个用户的以下详细信息:

    • 用户名称

    • 账户登录页面的 URL。使用以下示例,换入正确的账户 ID 号或账户别名:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    有关更多信息,请参阅 。IAM 用户如何登录 AWS中的IAM 用户指南

    重要

    用户的密码未 包括在生成的电子邮件中。您必须以符合您组织的安全准则的方式向用户提供密码。

添加现有用户的权限

  1. 在 IAM 控制台导航窗格中,选择用户

  2. 选择要添加到组的用户的名称,然后选择 Add permission (添加权限)

  3. 对于 Add user to group (将用户添加到组),请选择要将用户添加到的组旁边的框,例如 SSMUserGroup,或您创建的其他用户组的名称。

  4. 添加要分配给用户的任何其他可用权限策略。

  5. 选择后续:审核以查看要添加到新用户的组成员资格的列表。

  6. 选择 Add permissions (添加权限)

继续浏览步骤 4: 为 Systems Manager 创建 IAM 实例配置文件