IAM 用户如何登录 AWS - AWS Identity and Access Management

IAM 用户如何登录 AWS

要以 IAM 用户的身份登录到 AWS Management Console,除了您的用户名和密码外,您还须提供您的账户 ID 或账户别名。当您的管理员在控制台中创建您的 IAM 用户时,他们应该已经向您发送了登录凭证,其中包括您的用户名和账户登录页面的 URL,内含您的账户 ID 或账户别名。

https://My_AWS_Account_ID.signin.aws.amazon.com/console/
提示

要在 Web 浏览器中为您的账户登录页面创建书签,您应在标签条目中手动键入您的账户的登录 URL。不要使用 Web 浏览器的书签功能,因为重定向会掩盖登录 URL。

您也可以在以下常规登录端点登录,然后手动键入您的账户 ID 或账户别名:

https://console.aws.amazon.com/

为方便起见,AWS 登录页面使用浏览器 Cookie 记住 IAM 用户名和账户信息。下次用户转到 AWS Management Console 中的任何页面时,控制台会使用 cookie 将用户重定向到账户登录页面。

您只能访问您的管理员在附加到您的 IAM 用户身份的策略中指定的 AWS 资源。要在控制台开展工作,您必须有权限执行控制台执行的操作(例如列出和创建 AWS 资源)。有关更多信息,请参阅 适用于 AWS 资源的 Access ManagementIAM 基于身份的策略示例

注意

如果贵企业现在有一个身份系统,您可能需要创建单点登录 (SSO) 选项。SSO 向用户提供对您账户 AWS Management Console 的访问权限,而不要求他们具有 IAM 用户身份。SSO 也无需用户单独登录您的组织的网站和 AWS。有关更多信息,请参阅 使自定义身份凭证代理程序能够访问 AWS 控制台

在 CloudTrail 中记录登录详细信息

如果您允许 CloudTrail 将登录事件记录到您的日志中,您需要了解 CloudTrail 如何选择在何处记录事件。

  • 如果您的用户直接登录到控制台,则系统会根据所选服务控制台是否支持区域,将他们重定向到全局或区域登录端点。例如,主控制台主页支持区域,因此,如果您登录以下 URL:

    https://alias.signin.aws.amazon.com/console

    您会被重定向到 https://us-east-2.signin.aws.amazon.com 这样的区域登录端点,使得该区域日志中产生一个区域 CloudTrail 日志条目:

    另一方面,Amazon S3 控制台不支持区域,因此,如果您登录到以下 URL

    https://alias.signin.aws.amazon.com/console/s3

    AWS 会将您重定向到全局登录端点 https://signin.aws.amazon.com,从而产生一个全局 CloudTrail 日志条目。

  • 您可以通过使用类似如下的 URL 语法登录到启用区域的主控制台主页,来手动请求特定区域网站端点:

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS 将您重定向到 ap-southeast-1 区域登录端点并使该区域中产生一个 CloudTrail 日志事件。

有关 CloudTrail 和 IAM 的更多信息,请参阅使用 CloudTrail 记录 IAM 事件

如果用户需要编程式访问来使用您的账户,则可以为每位用户创建访问密钥对(访问密钥 ID 和秘密访问密钥)。但是,在为用户创建访问密钥之前,还需要考虑更安全的替代方法。有关更多信息,请参阅《AWS 一般参考》中的 长期访问密钥的注意事项和替代方案