# 移除或停用 IAM 用户
[最佳实操](best-practices.md#remove-credentials)建议您从 AWS 账户 中移除未使用的 IAM 用户。如果您想保留 IAM 用户的凭证以供将来使用,可以停用用户的访问权限,而不是从账户中删除凭证。有关更多信息,请参阅 [停用 IAM 用户](#id_users_deactivating)。
**警告**
IAM 用户及其访问密钥一经删除,便无法恢复。
## 先决条件 – 查看 IAM 用户访问权限
在移除用户之前,请查看其最近的服务级活动。这有助于防止删除正在使用访问权限的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅 [使用上次访问的信息优化 AWS 中的权限](access_policies_last-accessed.md)。
## 移除 IAM 用户(控制台)
使用 AWS 管理控制台 来移除 IAM 用户时,IAM 将自动删除以下关联信息:
+ IAM 用户标识符
+ 任何群组成员资格 - 也就是说,该 IAM 用户将从其所属的任何 群组中移除
+ 任何与该 IAM 用户关联的密码
+ 嵌入到该 IAM 用户中的所有内联策略(通过用户组权限应用于用户的策略不受影响)
**注意**
当您删除用户时,IAM 会移除附加到 IAM 用户的任何托管策略,但不会删除托管策略。
+ 任何关联的 MFA 设备
### 要移除 IAM 用户(控制台)
------
#### [ Console ]
1. 按照 *AWS 登录用户指南*中的[如何登录 AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)所述,根据用户类型选择相应的登录过程。
1. 在 **IAM 控制台主页**左侧的导航窗格中,在**搜索 IAM** 文本框中输入查询语句。
1. 在导航窗格中,选择**用户**,然后选中要删除的 IAM 用户名旁边的复选框。
1. 在页面的顶部,选择 **Delete**(移除)。
**注意**
如果任何用户有激活的访问密钥,则必须在删除用户之前停用访问密钥。有关更多信息,请参阅 [要停用 IAM 用户的访问密钥](access-keys-admin-managed.md#admin-deactivate-access-key)。
1. 在确认对话框的文本输入字段中输入用户名,以确认移除用户。选择 **Delete**(移除)。
控制台显示状态消息,通知 IAM 用户已被移除。
------
## 移除 IAM 用户 (AWS CLI)
与 AWS 管理控制台 不同,在使用 AWS CLI 移除 IAM 用户时,您必须手动删除附加到该 IAM 用户的项目。此步骤演示了该过程。
**从您的 AWS 账户 (AWS CLI) 中移除 IAM 用户**
1. 删除用户的密码(如果用户有)。
`[aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)`
1. 删除用户的访问密钥(如果用户有)。
`[aws iam list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)`(用于列出用户的访问密钥)和 `[aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)`
1. 删除用户的签名证书。注意,当您删除安全凭证时,凭证永远消失,无法恢复。
`[aws iam list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)`(用于列出用户的签名证书)和 `[aws iam delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)`
1. 请删除用户的 SSH 公有密钥(如果用户具有)。
`[aws iam list-ssh-public-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-ssh-public-keys.html)`(用于列出用户的 SSH 公有密钥)和 `[aws iam delete-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-ssh-public-key.html)`
1. 请删除用户的 Git 凭证。
`[aws iam list-service-specific-credentials](https://docs.aws.amazon.com/cli/latest/reference/iam/list-service-specific-credentials.html)`(用于列出用户的 Git 凭证)和 `[aws iam delete-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-specific-credential.html)`
1. 停用用户的多重身份验证 (MFA) 设备(如果用户具有)。
`[aws iam list-mfa-devices](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-devices.html)`(用于列出用户的 MFA 设备)、`[aws iam deactivate-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)`(用于停用设备)和 `[aws iam delete-virtual-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)`(用于永久删除虚拟 MFA 设备)
1. 请删除用户的内联策略。
`[aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)`(用于列出用户的内联策略)和 [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)(用于删除策略)
1. 分离附加到用户的任何托管策略。
`[aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)`(用于列出附加到用户的托管策略)和 [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)(用于分离策略)
1. 从任何 IAM 组中删除用户。
`[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)`(用于列出用户所属的 IAM 组)和 `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)`
1. 删除用户。
`[aws iam delete-user](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user.html)`
## 停用 IAM 用户
如果 IAM 用户暂时退出贵公司,您可能需要将其停用。您可以保留其 IAM 用户凭证,但仍然阻止其进行 AWS 访问。
要停用用户,请创建并附加策略以拒绝该用户访问 AWS。您可以稍后恢复该用户的访问权限。
以下是您可以附加到用户以拒绝其访问的拒绝策略的两个示例。
以下策略不包含时间限制。您必须删除该策略才能恢复用户的访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*"
}
]
}
```
------
以下策略包含一个条件,即策略自 2024 年 12 月 24 日晚上 11:59(UTC)起生效,并于 2025 年 2 月 28 日晚上 11:59(UTC)终止。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
"DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
}
}
]
}
```
------