更改 IAM 用户的权限
您可以更改您 AWS 账户 中的 IAM 用户的权限,方法是更改用户的组成员资格、复制现有用户的权限、直接为用户附加策略或设置权限边界。权限边界控制用户可以具有的最大权限。权限边界是一项高级 AWS 功能。
有关您修改用户的权限所需的权限的信息,请参阅访问 IAM 资源所需的权限。
主题
查看用户访问
在更改用户的权限之前,您应查看其最近的服务级别活动。这非常重要,因为您不想删除使用它的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅使用上次访问的信息优化 AWS 中的权限。
基于用户的访问活动生成策略
有时,您可能会向 IAM 实体(用户或角色)授予超出其需要的权限。为帮助您优化授予的权限,您可以根据实体的访问活动生成 IAM policy。IAM 访问分析器会查看您的 AWS CloudTrail 日志并生成一个策略模板,其中包含实体在指定日期范围内使用的权限。您可以使用模板创建具有精细权限的托管策略,然后将其附加到 IAM 实体。这样,您仅需授予用户或角色与特定使用案例中的 AWS 资源进行交互所需的权限。要了解更多信息,请参阅 IAM Acess Analyzer 策略生成。
向用户添加权限(控制台)
IAM 提供了三种方法来向用户添加权限策略:
-
将用户添加到组 - 使用户成为一个组的成员。来自该组的策略将附加到用户。
-
复制现有用户的权限 - 复制所有组成员资格、附加的托管策略、内联策略以及源用户的任何现有权限边界。
-
直接为用户附加策略 - 直接为用户附加托管策略。为方便管理权限,请将策略附加到组,然后使用户成为相应组的成员。
重要
如果用户具有权限边界,则您为用户添加的权限不能超过权限边界所允许的权限。
通过将用户添加到组来添加权限
将用户添加到组会立即影响用户。
通过将用户添加到组来向用户添加权限
登录 AWS Management Console,单击 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择用户。
-
在控制台的 Groups 列中查看用户的当前组成员资格。如有必要,请通过完成以下步骤来将该列添加到用户表中:
-
在最右侧的表上方,选择设置符号 ( )。
-
在 Manage Columns 对话框中,选择 Groups 列。(可选) 您还可以清除不希望在用户表中显示的任何列标题的复选框。
-
选择 Close 返回到用户列表。
Groups 列指示用户所属的组。该列最多包含两个组的组名称。如果用户是三个或更多个组的成员,则只显示前两个组(按字母顺序排序),并且包含其他组成员资格的数量。例如,如果用户属于组 A、组 B、组 C 和组 D,则该字段包含值 Group A, Group B + 2 more。要查看用户所属组的总数,可以向用户表添加 Group count 列。
-
-
请选择要修改其权限的用户的名称。
-
请选择 Permissions 选项卡,然后选择 Add permissions。选择 Add user to group。
-
选择您希望用户加入的每个组所对应的复选框。列表显示了每个组的名称以及用户在成为该组成员后获得的策略。
-
(可选)除了从现有组中进行选择之外,您还可以选择 Create group 来定义新组。
-
在新选项卡中,对于用户组名,键入您的新组名称。
注意
AWS 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅 IAM 和 AWS STS 配额。组名称可以是最多由 128 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您不能创建名为 TESTGROUP 和 testgroup 的两个组。
-
选中您要附加到组的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口;选择 Refresh,然后选择新策略以将其附加到您的组。有关更多信息,请参阅 使用客户管理型策略定义自定义 IAM 权限。
-
选择创建用户组。
-
返回到原始选项卡,刷新您的组列表。然后选中您的新组所对应的复选框。
-
-
选择下一步,以查看要添加到用户的组成员资格列表。然后选择 Add permissions。
通过从其他用户复制来添加权限
复制权限会立即影响用户。
通过从其他用户复制权限来向用户添加权限
登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中选择 Users,选择您要修改其权限的用户的名称,然后选择 Permissions 选项卡。
-
选择添加权限,然后选择从现有用户复制权限。列表显示了可用用户以及其组成员资格和附加的策略。如果组或策略的完整列表不能显示在一行中,您可以选择 and
n
more 链接。执行此操作将打开新的浏览器选项卡,可以查看策略 (Permissions 选项卡) 和组 (Groups 选项卡) 的完整列表。 -
选择您想要复制其权限的用户旁边的单选按钮。
-
选择下一步,以查看要对用户所做的更改列表。然后选择 Add permissions。
通过直接将策略附加到用户来添加权限
附加策略会立即影响用户。
通过直接附加托管策略来向用户添加权限
登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中选择 Users,选择您要修改其权限的用户的名称,然后选择 Permissions 选项卡。
-
选择添加权限,然后选择直接附加现有策略。
-
选中您要附加到用户的托管策略所对应的一个或多个复选框。您还可以通过选择 Create policy 来创建新的托管策略。如果您这样做,请在创建新的策略之后返回到此浏览器选项卡或窗口。选择 Refresh (刷新),然后选中新策略对应的复选框以将该策略附加到您的用户。有关更多信息,请参阅 使用客户管理型策略定义自定义 IAM 权限。
-
选择下一步,以查看要附加到用户的策略列表。然后选择 Add permissions。
为用户设置权限边界
设置权限边界会立即影响用户。
为用户设置权限边界
登录 AWS Management Console,单击 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择用户。
-
请选择要更改其权限边界的用户的名称。
-
选择 Permissions 选项卡。如有必要,打开权限边界部分,然后选择设置权限边界。
-
选择要用于权限边界的策略。
-
选择设置边界。
更改用户的权限(控制台)
IAM 允许您通过以下方式更改与用户关联的权限:
-
编辑权限策略 - 编辑用户的内联策略、用户的组的内联策略,或编辑直接附加到用户或从组附加到用户的托管策略。如果用户具有权限边界,则您提供的权限不能超过用作用户的权限边界的策略所允许的权限。
-
更改权限边界 - 更改用作用户的权限边界的策略。这可以扩大或限制用户可以具有的最大权限。
编辑附加到用户的权限策略
更改权限会立即影响用户。
编辑用户的已附加托管策略
登录 AWS Management Console,单击 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择用户。
-
请选择要更改其权限策略的用户的名称。
-
选择权限选项卡。如有必要,打开权限策略部分。
-
请选择要编辑的策略的名称以查看有关该策略的详细信息。请选择策略使用选项卡以查看您编辑策略可能会影响到的其他实体。
-
请选择权限选项卡并查看策略授予的权限。然后选择编辑策略。
-
选择查看策略,查看策略摘要,然后选择保存更改。
更改用户的权限边界
更改权限边界会立即影响用户。
更改用于设置用户的权限边界的策略
登录 AWS Management Console,单击 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择用户。
-
请选择要更改其权限边界的用户的名称。
-
选择 Permissions 选项卡。如有必要,打开权限边界部分,然后选择更改边界。
-
选择要用于权限边界的策略。
-
选择设置边界。
从用户删除权限策略(控制台)
删除策略会立即影响用户。
撤消 IAM 用户权限
登录 AWS Management Console,单击 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择用户。
-
请选择要删除其权限边界的用户的名称。
-
请选择 Permissions 选项卡。
-
如果要通过移除现有策略来撤消权限,请查看类型来了解用户如何获取该策略,然后再选择删除以删除策略:
-
如果该策略因组成员资格而适用,则选择删除,从组中删除该用户。请记住,可向单个组中附加多个策略。如果您从组中删除某个用户,该用户将失去对其通过组成员资格接收的所有 策略的访问权限。
-
如果该策略是直接附加到该用户的托管策略,则选择删除,从该用户中分离该策略。这不会影响该策略本身或该策略可能附加到的任何其他实体。
-
如果该策略是内联嵌入式策略,则选择 X 可从 IAM 中删除该策略。直接附加到用户的内联策略只能在该用户中存在。
-
从用户删除权限边界(控制台)
删除权限边界会立即影响用户。
从用户删除权限边界
登录 AWS Management Console,单击 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择用户。
-
请选择要删除其权限边界的用户的名称。
-
请选择 Permissions 选项卡。如有必要,打开权限边界部分,然后选择删除边界。
-
选择删除边界,以确认您要删除权限边界。
添加和删除用户的权限(AWS CLI 或 AWS API)
要以编程方式添加或删除权限,您必须添加组成员资格、附加或分离托管策略或者添加或删除内联策略。有关更多信息,请参阅以下主题: