IAM用户

以下是亚马逊AWS对IAM的定义，可以看出来是AWS提供的用户管理机制。无论是从系统层面还是应用程序层面，用户管理是服务器运维当中最最重要的！

AWS Identity and Access Management(IAM)使您能够安全地控制用户对Amazon AWS服务和资源的访问权限。您可以使用IAM创建和管理AWS用户和群组，并使用各种权限来允许或拒绝他们对AWS资源的访问。

创建IAM用户

登录AWS管理控制台以后点击[Identity Access Management]

在这里创建新的IAM用户。

1. 点击左侧栏的[用户]
2. 点击[创建新用户]

为了测试只添加一个用户，可一次性的添加5个用户。

1. 用户名输入[s3_for_awsgood]
2. 点击[创建]

在这里必须下载访问密钥和私有访问密钥。

1. 点击[下载凭证]
2. 确认下载完成以后，点击[关闭]

给新IAM用户附加策略。

1. 点击左侧栏的[用户]
2. 点击[s3_for_awsgood]
3. 点击[附加策略]

在这里附加AWS提供的[AmazonS3FullAccess]策略。

1. 策略类型里输入[s3]，按[Enter]键
2. 选择[AmazonS3FullAccess]
3. 点击[附加策略]

可以确认到[AmazonS3FullAccess]策略已经附加到s3_for_awsgood用户了。

在[安全证书]里添加[管理密码]。建议是使用MFA(Multi-FactorAuthentication)。

• 点击[管理密码]

有[分配自动生成的密码]和[分配自定义密码]的选项，在这里使用[分配自定义选择密码]以后，点击[应用]。

确认IAM用户是否能正常登录

访问s3_for_awsgood用户的登录页面(账户无需手动输入)。输入[用户名]及[密码]之后点击[登录]。

创建IAM用户以后为该用户配置了管理密码的话，用户可使用以下的特殊URL访问AWS管理控制台。

AWS-account-ID的部分换成自己的AWS账户ID。

• https://.signin.aws.amazon.com/console

例如，输入AWS账户ID以后的URL如下

• https://272459439888.signin.aws.amazon.com/console

也可从AWS IAM服务的[控制面板]确认[IAM用户登录链接]。

在AWS管理控制台选择了一下Amazon EC2服务的结果如下。在s3_for_awsgood用户的策略里只附加了AmazonS3FullAccess权限，因此该用户是无法操作Amazon EC2。

访问Amazon S3服务，可以确认到没有显示无权描述。即可使用s3_for_awsgood用户进行创建存储桶，上传文件等等操作。

结语

AWS提供了许多已定义好的策略，并且可以自定义策略。如何安全的管理AWS账户及给用户配置最小权限等等尽在IAM服务。

在IAM服务页面里AWS也提示了最佳用户管理方法。