删除或停用 IAM 用户
如果 IAM 用户退出贵公司,则可从您的 AWS 账户 中删除该用户。如果该用户暂时退出,则可停用其访问权限,而不是如 停用 IAM 用户 中所述将其从账户中删除。
先决条件 – 查看用户访问
在删除用户之前,您应查看其最近的服务级别活动。这非常重要,因为您不想删除使用它的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅使用上次访问的信息优化 AWS 中的权限。
删除 IAM 用户(控制台)
使用 AWS Management Console 删除 IAM 用户时,IAM 将自动删除以下信息:
-
用户
-
任何用户组成员资格 — 也就是说,该用户将从所属的任何 IAM 用户组中删除
-
任何与该用户关联的密码
-
属于该用户的任何访问密钥
-
嵌入到该用户中的所有内联策略(通过用户组权限应用于用户的策略不受影响)
注意
当您删除用户时,IAM 会移除附加到用户的任何托管策略,但不会删除托管策略。
-
任何关联的 MFA 设备
删除 IAM 用户(控制台)
登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 Users(用户),然后选中要删除的用户旁的复选框。
-
在页面的顶部,选择删除。
-
在确认对话框中,在文本输入字段中输入用户名以确认删除用户。选择 Delete(删除)。
删除 IAM 用户 (AWS CLI)
与 AWS Management Console不同,在使用 AWS CLI 删除用户时,您必须手动删除附加到该用户的项目。此过程演示了这个流程。
从您的账户删除用户 (AWS CLI)
-
请删除用户的密码(如果用户具有)。
-
请删除用户的访问密钥(如果用户具有)。
aws iam list-access-keys
(用于列出用户的访问密钥)和aws iam delete-access-key
-
请删除用户的签名证书。注意,当您删除安全凭证时,凭证永远消失,无法恢复。
aws iam list-signing-certificates
(用于列出用户的签名证书)和aws iam delete-signing-certificate
-
请删除用户的 SSH 公有密钥(如果用户具有)。
aws iam list-ssh-public-keys
(用于列出用户的 SSH 公有密钥)和aws iam delete-ssh-public-key
-
请删除用户的 Git 凭证。
aws iam list-service-specific-credentials
(用于列出用户的 Git 凭证)和aws iam delete-service-specific-credential
-
停用用户的多重身份验证 (MFA) 设备(如果用户具有)。
aws iam list-mfa-devices
(用于列出用户的 MFA 设备)、aws iam deactivate-mfa-device
(用于停用设备)和aws iam delete-virtual-mfa-device
(用于永久删除虚拟 MFA 设备) -
请删除用户的内联策略。
aws iam list-user-policies
(用于列出用户的内联策略)和aws iam delete-user-policy
(用于删除策略) -
分离附加到用户的任何托管策略。
aws iam list-attached-user-policies
(用于列出附加到用户的托管策略)和aws iam detach-user-policy
(用于分离策略) -
请从任何用户组中删除用户。
aws iam list-groups-for-user
(用于列出用户所属的用户组)和aws iam remove-user-from-group
-
请删除用户。
停用 IAM 用户
如果 IAM 用户暂时退出贵公司,您可能需要将其停用。您可以保留其 IAM 用户凭证,但仍然阻止其进行 AWS 访问。
要停用用户,请创建并附加策略以拒绝该用户访问 AWS。您可以稍后恢复该用户的访问权限。
以下是您可以附加到用户以拒绝其访问的拒绝策略的两个示例。
以下策略不包含时间限制。您必须删除该策略才能恢复用户的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*" } ] }
以下策略包含一个条件,即策略自 2024 年 12 月 24 日晚上 11:59(UTC)起生效,并于 2025 年 2 月 28 日晚上 11:59(UTC)终止。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"}, "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"} } } ] }