在 AWS 账户 中创建 IAM 用户 - AWS Identity and Access Management

在 AWS 账户 中创建 IAM 用户

重要

IAM 最佳实践建议您您要求人类用户使用与身份提供商的联合身份验证才能使用临时凭证访问 AWS,而不是使用具有长期凭证的 IAM 用户。我们建议您仅在联合用户不支持的特定用例中使用 IAM 用户。

创建 IAM 用户并使该用户能够执行任务的过程包含以下步骤:

  1. 在 AWS Management Console、AWS CLI、Tools for Windows PowerShell 中或使用 AWS API 操作创建用户。如果您在 AWS Management Console 中创建用户,则将根据您的选择自动处理步骤 1 到步骤 4。如果以编程方式创建 IAM 用户,则必须分别执行上述每个步骤。

  2. 根据用户所需的访问类型为用户创建凭证:

    • 启用控制台访问 – 可选:如果用户需要访问 AWS Management Console,请为用户创建密码。禁用用户的控制台访问可防止用户使用其用户名和密码登录 AWS Management Console。这不会更改他们的权限,也不会阻止他们使用担任的角色访问控制台。

    提示

    请仅创建用户需要的凭证。例如,对于仅需要通过 AWS Management Console进行访问的用户,请勿创建访问密钥。

  3. 给予用户执行所需任务的权限。建议将 IAM 用户放入组内,通过附加到这些组的策略来管理权限。但是,您还可以通过将权限策略直接附加到用户来授予权限。如果使用控制台添加用户,则您可以将现有用户的权限复制到新用户。

    您还可以指定定义用户可以拥有的最大权限的策略,由此添加权限边界来限制用户的权限。权限边界不授予任何权限。

    有关创建用于授予权限或设置权限边界的自定义权限策略的说明,请参阅 使用客户管理型策略定义自定义 IAM 权限

  4. (可选)通过附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 AWS Identity and Access Management 资源的标签

  5. 向用户提供必要的登录信息。信息包括密码以及用户在其中提供这些凭证的账户登录页面的控制台 URL。有关更多信息,请参阅 IAM 用户如何登录 AWS

  6. (可选) 为用户配置多重验证 (MFA)。MFA 要求用户在每次登录 AWS Management Console时都提供一次性的代码。

  7. (可选)向 IAM 用户授予管理自己安全凭证所需的权限。(默认状态下,IAM 用户没有权限管理自己的凭证。) 有关更多信息,请参阅 允许 IAM 用户更改自己的密码

    注意

    如果您使用控制台创建用户并选择用户必须在下次登录时创建新密码(推荐),则用户具有所需的权限。

有关创建用户时需要的权限的信息,请参阅访问 IAM 资源所需的权限

有关为特定应用场景创建 IAM 用户的说明,请参阅以下主题: