重命名 IAM 用户
注意
作为最佳实践,我们建议您要求人类用户使用带有身份提供程序的联合身份验证才能使用临时凭证访问 AWS。如果您遵循最佳实践,则无法管理 IAM 用户和组。相反,您的用户和组是在 AWS 外部进行管理的,并且能够以联合身份访问 AWS 资源。联合身份是来自企业用户目录、Web 身份提供程序、AWS Identity Service 的用户,或任何使用通过身份源提供的凭证来访问 AWS 服务的用户。联合身份使用其身份提供商定义的组。如果您使用的是 AWS IAM Identity Center,请参阅《AWS IAM Identity Center 用户指南》中的管理 IAM Identity Center 中的身份,了解有关在 IAM Identity Center 中创建用户和组的信息。
亚马逊云科技提供多种工具来管理 AWS 账户 中的 IAM 用户。您可以列出账户中或用户组中的 IAM 用户,也可以列出用户所属的所有 IAM 组。您可以重命名或更改 IAM 用户的路径。如果您使用的是联合身份而不是 IAM 用户,则可以从 AWS 账户中删除 IAM 用户,或停用该用户。
有关添加、更改或删除 IAM 用户的托管策略的更多信息,请参阅 更改 IAM 用户的权限。有关为 IAM 用户管理内联策略的信息,请参阅 添加和删除 IAM 身份权限、编辑 IAM 策略 和 删除 IAM 策略。作为最佳实践,请使用托管式策略而不是内联策略。AWS 托管式策略可用于为很多常用案例提供权限。请记住,AWS 托管策略可能不会为您的特定使用场景授予最低权限许可,因为它们可供所有 AWS 客户使用。因此,我们建议通过定义特定于您的使用场景的客户管理型策略来减少许可。有关更多信息,请参阅 AWS托管策略。有关专为特定任务函数制定的 AWS 托管策略的更多信息,请参阅 工作职能的 AWS 托管策略。
要了解有关验证 IAM policy 的更多信息,请参阅 IAM 策略验证。
提示
IAM Access Analyzer 可以分析您的 IAM 角色使用的服务和操作,然后生成您可以使用的精细策略。测试每个生成的策略后,可以将该策略部署到生产环境中。这可确保您仅向工作负载授予所需的权限。有关策略生成的更多信息,请参阅 IAM Access Analyzer 策略生成。
有关管理 IAM 用户密码的信息,请参阅 管理 IAM 用户的密码。
重命名 IAM 用户
要更改用户的名称或路径,必须使用 AWS CLI、Tools for Windows PowerShell 或 AWS API。控制台中没有用于重命名用户的选项。有关为将用户重命名而需要的权限的信息,请参阅访问 IAM 资源所需的权限。
当您更改用户名或路径时,发生以下情况:
-
应用于用户的所有策略采用新用户名继续生效。
-
采用新用户名的用户保留在原来的 IAM 组。
-
用户的唯一 ID 保持不变。有关唯一 ID 的更多信息,请参阅 唯一标识符。
-
任何将该用户视为主体(向该用户授予访问权限)的资源或角色策略均自动更新以使用新用户名或路径。例如,Amazon SQS 中任何基于队列的策略或 Amazon S3 中任何基于资源的策略都会自动更新,以使用新名称和路径。
IAM 不自动更新将该用户视为资源的策略以使用新用户名或路径;必须由您手动更新。例如,假设向用户 Richard 附加了一个策略,该策略使该用户可管理其自己的安全凭证。如果管理员将 Richard 重命名为 Rich,则管理员还需要更新该策略以将资源从此:
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard改为此:
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich如果管理员更改路径,则也会发生这种情况;管理员需要更新策略以反映该用户使用新路径。
重命名用户
-
AWS CLI:aws iam update-user
-
AWS API:UpdateUser
