本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建一个 IAM 用户,以便以编程方式访问您账户中的 Amazon Keyspaces AWS 要通过 AWS CLI、软件开发工具包或 Sigv4 插件获取以编程方式访问 Amazon AWS Keyspaces 的证书,您需要先创建 IAM 用户或角色。以下步骤显示了创建 IAM 用户并将该 IAM 用户配置为以编程方式访问 Amazon Keyspaces 的过程: 1. 在 AWS 管理控制台、、Windows 工具中创建用户 PowerShell,或者使用 AWS API 操作创建用户。 AWS CLI如果您在中创建用户 AWS 管理控制台,则会自动创建凭据。 1. 如果以编程方式创建用户,您必须通过额外步骤为该用户创建访问密钥(访问密钥 ID 和秘密访问密钥)。 1. 向用户授予访问 Amazon Keyspaces 的权限。 有关创建 IAM 用户所需的权限的信息,请参阅[访问 IAM 资源所需的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_permissions-required.html)。 ------ #### [ Console ] **创建可通过编程方式进行访问的 IAM 用户(控制台)** 1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。 1. 在导航窗格中,选择 **Users**(用户),然后选择 **Add users**(添加用户)。 1. 为新用户键入用户名。这是的登录名。 AWS **注意** 用户名可以是一个最多由 64 个字母、数字和以下字符构成的组合:加号 (\$1)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (\$1) 和连字符 (-)。账户中的姓名必须是唯一的。它们不按大小写区分。例如,您不能创建名为 *TESTUSER* 和 *testuser* 的两个用户。 1. 选择**访问密钥 - 编程访问**,为新用户创建一个访问密钥。您可以在转到**最终**页面后查看或下载访问密钥。 选择**下一步: 权限**。 1. 在**设置权限**页面,选择**直接附加现有策略**,为新用户分配权限。 此选项显示您账户中可用的 AWS 托管和客户托管策略列表。您可以在搜索字段中输入 `keyspaces`,以仅显示与 Amazon Keyspaces 相关的策略。 对于 Amazon Keyspaces,可用的托管策略是 `AmazonKeyspacesFullAccess` 和 `AmazonKeyspacesReadOnlyAccess`。有关每项策略的更多信息,请参阅 [AWS Amazon Keyspaces 的托管策略](security-iam-awsmanpol.md)。 要进行测试和学习连接教程,请为新 IAM 用户选择 `AmazonKeyspacesReadOnlyAccess` 策略。**注意**:作为最佳实践,我们建议您遵循最低权限原则并创建自定义策略,限制对特定资源的访问并仅允许所需操作。有关 IAM policy 的更多信息以及查看 Amazon Keyspaces 的示例策略,请参阅[Amazon Keyspaces 基于身份的策略](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies)。创建自定义权限策略后,请将策略附加到角色,然后使用户临时代入相应角色。 选择**下一步:标签**。 1. 在**添加标签(可选)**页面,您可以为用户添加标签,或选择**下一步:审核**。 1. 在**审核**页面,您可以看到目前所做的所有选择。如果您已准备好继续,请选择**创建用户**。 1. 要查看用户的访问密钥(访问密钥 IDs 和私有访问密钥),请选择密码和访问密钥旁边的**显示**。要保存访问密钥,请选择**下载 .csv**,然后将文件保存到安全位置。 **重要** 这是您查看或下载秘密访问密钥的唯一机会,您需要提供这些信息,他们才能使用 SigV4 插件。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些秘密访问密钥。 ------ #### [ CLI ] **创建可通过编程方式进行访问的 IAM 用户(AWS CLI)** 1. 使用以下 AWS CLI 代码创建用户。 + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html) 1. 向用户提供编程访问权限。这需要访问密钥,访问密钥可通过以下方式生成。 + AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html) + 适用于 Windows 的工具 PowerShell:[https://docs.aws.amazon.com/powershell/latest/reference/items/New-IAMAccessKey.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-IAMAccessKey.html) + IAM API:[https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) **重要** 这是您查看或下载秘密访问密钥的唯一机会,您需要提供这些信息,他们才能使用 SigV4 插件。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些秘密访问密钥。 1. 将 `AmazonKeyspacesReadOnlyAccess` 策略(用于定义用户权限的)附加到用户。**注意:**作为最最佳实践,我们建议您通过将用户添加到组并向该组附加策略(而不是直接附加到用户)来管理用户权限。 + AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html) ------