在您的 AWS 账户 中创建 IAM 用户 - AWS Identity and Access Management

在您的 AWS 账户 中创建 IAM 用户

重要

IAM 最佳实践建议您您要求人类用户使用与身份提供商的联合身份验证才能使用临时凭证访问 AWS,而不是使用具有长期凭证的 IAM 用户。

注意

如果您发现此页面是因为您正在寻找有关产品广告 API 的信息以在您的网站上销售 Amazon 产品,请参阅 Product Advertising API 5.0 文档

如果您是从 IAM 控制台到达该页面的,您的账户可能不包含 IAM 用户(即使您已登录)。能够使用角色以 AWS 账户根用户身份登录,也可以使用临时凭证登录。要了解有关这些 IAM 身份的更多信息,请参阅 IAM 身份(用户、用户组和角色)

创建用户并使该用户能够执行工作任务的过程包含以下步骤:

  1. 在 AWS Management Console、AWS CLI、Tools for Windows PowerShell 中或使用 AWS API 操作创建用户。如果您在 AWS Management Console 中创建用户,则将根据您的选择自动处理步骤 1 到步骤 4。如果您以编程方式创建用户,则必须分别执行上述每个步骤。

  2. 根据用户所需的访问类型为用户创建凭证:

    • 启用控制台访问 – 可选:如果用户需要访问 AWS Management Console,请为用户创建密码。禁用用户的控制台访问可防止用户使用其用户名和密码登录 AWS Management Console。这不会更改他们的权限,也不会阻止他们使用担任的角色访问控制台。

    提示

    请仅创建用户需要的凭证。例如,对于仅需要通过 AWS Management Console进行访问的用户,请勿创建访问密钥。

  3. 通过将用户添加到一个或多个组,向用户提供执行所需任务的权限。您还可以通过将权限策略直接附加到用户来授予权限。但是,我们建议您将用户放入组内并通过附加到这些组的策略来管理权限。您还可以使用权限边界来限制用户可以具有的权限,但这不常用。

  4. (可选)通过附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 标记 IAM 资源

  5. 向用户提供必要的登录信息。信息包括密码以及用户在其中提供这些凭证的账户登录页面的控制台 URL。有关更多信息,请参阅 IAM 用户如何登录 AWS

  6. (可选) 为用户配置多重验证 (MFA)。MFA 要求用户在每次登录 AWS Management Console时都提供一次性的代码。

  7. (可选) 向用户授予管理其自己的安全凭证所需的权限。(默认状态下,用户没有权限管理自己的凭证。) 有关更多信息,请参阅 允许 IAM 用户更改自己的密码

有关创建用户时需要的权限的信息,请参阅访问 IAM 资源所需的权限

创建 IAM 用户(控制台)

您可以使用 AWS Management Console 创建 IAM 用户。

创建 IAM 用户(控制台)
  1. 按照《AWS 登录用户指南》中的如何登录 AWS 所述,根据用户类型选择相应的登录过程。

  2. 控制台主页页面,选择 IAM 服务。

  3. 在导航窗格中,选择用户,然后选择创建用户

  4. 指定用户详细信息页面中的用户详细信息下的用户名中,输入新用户的名称。这是 AWS 的登录名。

    注意

    AWS 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅 IAM 和 AWS STS 配额。用户名可以是一个最多由 64 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您不能创建名为 TESTUSERtestuser 的两个用户。在策略中使用用户名或将其作为 ARN 的一部分时,用户名区分大小写。在控制台中向客户显示用户名时(例如在登录过程中),用户名不区分大小写。

  5. 选择向 AWS Management Console 提供用户访问权限 – 可选,这将为新用户生成 AWS Management Console 登录凭证。

    系统会询问您是否正在向某人提供控制台访问权限。我们建议您在 IAM Identity Center 而非 IAM 中创建用户。

    • 要切换到在 IAM Identity Center 中创建用户,请选择在身份中心中指定用户

      如您尚未启用 IAM Identity Center,则选择该选项将进入控制台中的服务页面,以便启用该服务。有关此过程的详细信息,请参阅《AWS IAM Identity Center 用户指南》中的 IAM Identity Center 中的常见任务入门

      如您已启用 IAM Identity Center,则选择该选项将进入 IAM Identity Center 的指定用户详细信息页面。有关此过程的详细信息,请参阅《AWS IAM Identity Center 用户指南》中的添加用户

    • 如您无法使用 IAM Identity Center,请选择我想创建 IAM 用户并继续执行此程序。

    1. 对于控制台密码,请选择下列选项之一:

      • 自动生成的密码 – 用户将获得一个随机生成的密码,该密码符合账户密码策略。在转到找回密码页面后,您可以查看或下载密码。

      • 自定义密码 – 向用户分配您在框内输入的密码。

    2. (可选)默认选择用户必须在下次登录时创建新密码(推荐),以确保强制用户在首次登录时更改其密码。

      注意

      如果管理员启用了允许用户更改其密码账户密码策略设置,则此复选框不执行任何操作。否则,它会自动将名为 IAMUserChangePassword 的 AWS 托管策略附加到新用户。该策略授予他们更改其密码的权限。

  6. 选择下一步

  7. 设置权限页面上,指定您要向该用户分配权限的方式。选择下列三个选项之一:

    • 将用户添加到组 – 如果您希望将用户分配到已具有权限策略的一个或多个组,请选择该选项。IAM 将显示您账户中的组及其附加的策略的列表。您可以选择一个或多个现有组,或者选择创建组来创建新组。有关更多信息,请参阅 更改 IAM 用户的权限

    • 复制权限 – 选择该选项可将现有用户的所有组成员资格、附加的托管策略、嵌入式内联策略以及任何现有的权限边界都复制给新用户。IAM 将显示您账户中的用户的列表。选择其权限与新用户的需求最为匹配的一个用户。

    • 直接附加策略 – 选择该选项可查看您账户中的 AWS 管理型策略和客户托管理型策略的列表。选择您要附加到该用户的策略或选择创建策略,以打开新的浏览器选项卡并创建新策略。有关更多信息,请参阅过程创建 IAM policy中的步骤 4。创建策略后,关闭该选项卡并返回到原始选项卡,以将策略添加到该用户。

      提示

      请尽可能将策略附加到组,然后使用户成为相应组的成员。

  8. (可选)设置权限边界。这是一项高级功能。

    打开权限边界部分,然后选择使用权限边界控制最大角色权限。IAM 将显示您的账户中的 AWS 托管策略和客户托管策略的列表。选择要用于权限边界的策略,或选择创建策略以打开新的浏览器选项卡并创建新策略。有关更多信息,请参阅过程创建 IAM policy中的步骤 4。在您创建策略后,关闭该选项卡并返回到您的原始选项卡,以选择要用于权限边界的策略。

  9. 选择下一步

  10. (可选)在查看和创建页面上的标签下,选择添加新标签,通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 标记 IAM 资源

  11. 查看您此时已做的所有选择。如果您已准备好继续,请选择创建用户

  12. 找回密码页面上,获取分配给用户的密码:

    • 选择密码旁边的显示以查看用户密码,以便手动记录此密码。

    • 选择下载 .csv,将用户的登录凭证下载为 .csv 文件,可将其保存到安全位置。

  13. 选择电子邮件登录说明。您的本地邮件客户端将打开并显示一份草稿,您可以对草稿进行自定义并发送给用户。电子邮件模板包括每个用户的以下详细信息:

    • 用户名称

    • 账户登录页面的 URL。使用以下示例,换入正确的账户 ID 号或账户别名:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console
    重要

    用户的密码 包括在生成的电子邮件中。在向用户提供密码时,必须符合您所在组织的安全准则。

  14. 如果用户还需要访问密钥进行编程访问,请参阅 管理 IAM 用户的访问密钥

创建 IAM 用户 (AWS CLI)

您可以使用 AWS CLI 创建 IAM 用户。

创建 IAM 用户 (AWS CLI)
  1. 创建用户。

  2. (可选)向用户提供对 AWS Management Console的访问权限。这需要密码。您必须还向用户提供您的账户登录页的 URL。

  3. (可选)向用户提供编程访问。这需要访问密钥。

    • aws iam create-access-key

    • Tools for Windows PowerShell:New-IAMAccessKey

    • IAM API:CreateAccessKey

      重要

      这是您查看或下载秘密访问密钥的唯一机会,您必须向用户提供此信息,他们才能使用 AWS API。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些秘密访问密钥。

  4. 将该用户添加到一个或多个组。您指定的组应具有用于向用户授予适当的权限的附加策略。

  5. (可选)向用户附加策略,此策略用于定义该用户的权限。注意:建议您通过将用户添加到一个组并向该组附加策略(而不是直接向用户附加策略)来管理用户权限。

  6. (可选)通过附加标签来向用户添加自定义属性。有关更多信息,请参阅 管理 IAM 用户(AWS CLI 或 AWS API)的标签

  7. (可选)为用户授予权限以管理自己的安全凭证。有关更多信息,请参阅 AWS:允许使用 MFA 完成身份验证的 IAM 用户在“安全凭证”页面上管理自己的凭证。

创建 IAM 用户 (AWS API)

您可以使用 AWS API 创建 IAM 用户。

从 (AWS API) 创建 IAM 用户
  1. 创建用户。

  2. (可选)向用户提供对 AWS Management Console的访问权限。这需要密码。您必须还向用户提供您的账户登录页的 URL。

  3. (可选)向用户提供编程访问。这需要访问密钥。

    • CreateAccessKey

      重要

      这是您查看或下载秘密访问密钥的唯一机会,您必须向用户提供此信息,他们才能使用 AWS API。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些秘密访问密钥。

  4. 将该用户添加到一个或多个组。您指定的组应具有用于向用户授予适当的权限的附加策略。

  5. (可选)向用户附加策略,此策略用于定义该用户的权限。注意:建议您通过将用户添加到一个组并向该组附加策略(而不是直接向用户附加策略)来管理用户权限。

  6. (可选)通过附加标签来向用户添加自定义属性。有关更多信息,请参阅 管理 IAM 用户(AWS CLI 或 AWS API)的标签

  7. (可选)为用户授予权限以管理自己的安全凭证。有关更多信息,请参阅 AWS:允许使用 MFA 完成身份验证的 IAM 用户在“安全凭证”页面上管理自己的凭证。