一、什么是 AWS IAM 身份中心?🧩
IAM 身份中心(IAM Identity Center)是 AWS 官方推荐的统一身份与访问管理入口,用来:
👤集中管理 用户(Users)
👥 管理 用户组(Groups)
🔐 把用户安全地分配到 AWS 账号和角色
🚫 替代“每个账号手动创建 IAM User”的老方式
一句话总结👇
IAM 身份中心 = AWS 的“公司员工登录系统”
二、启用 IAM 身份中心(只需一次)⚙️
📍 路径:
AWS Console → IAM Identity Center
1️⃣ 进入 IAM Identity Center
2️⃣ 点击 Enable(启用)
3️⃣ AWS 会自动创建:
Identity Center 实例
一个专用的目录(默认目录)
✅ 启用后,才能创建用户和组
三、创建用户(User)👤
📍 路径:
IAM Identity Center → Users → Add user
1️⃣ 填写用户信息
Username(登录名)
Email(非常重要,用来收激活邮件)
First name / Last name(可选)
2️⃣ 设置登录方式
默认:用户名 + 密码
首次登录需要重设密码
👉 点击 Next → Create user
📧 AWS 会自动给用户发一封登录邀请邮件
四、创建用户组(Group)👥(强烈推荐)
👉 最佳实践:权限给“组”,不是直接给用户
📍 路径:
IAM Identity Center → Groups → Create group示例组设计:
Developers
ReadOnly
Admins
DataAnalysts
创建后,你可以:
把多个用户加入一个组
统一给组分配权限
五、给用户 / 组分配 AWS 账号权限 🔐(最关键)
📍 路径:
IAM Identity Center → AWS accounts
1️⃣ 选择 AWS 账号
单账号 or 多账号组织
2️⃣ Assign users or groups
选择 User 或 Group
通常选 Group
3️⃣ 选择 Permission Set(权限集)
AWS 预置:
AdministratorAccess
ReadOnlyAccess
或你自己创建的权限集(推荐)
👉 完成后,用户就能登录 AWS Portal 访问账号
六、什么是 Permission Set?🧠
Permission Set ≈ IAM Role + Policy 的组合
📍 路径:
IAM Identity Center → Permission sets
你可以:
使用 AWS 托管策略
或写 自定义 IAM Policy(JSON)
示例:只读 RDS + CloudWatch
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["rds:Describe*","cloudwatch:GetMetricData"],"Resource":"*"}]}👉 非常像你前面贴的那段 policy(用于监控 / 只读)
七、用户如何登录?🚪
用户登录方式不是 root,也不是 IAM User:
📌 IAM 身份中心用户门户
https://<你的域名>.awsapps.com/start
登录后:
看到可访问的 AWS 账号
点击 → 自动切换角色进入 Console
✨ 无需 Access Key,更安全
八、日常管理操作 🛠️
✅ 添加 / 删除用户
Users → Add / Delete
✅ 修改用户组
Users → Groups → Add / Remove
✅ 修改权限
改 Permission Set
或重新 Assign
✅ 禁用用户
删除账号分配(无需删用户)
九、IAM User vs IAM 身份中心(面试高频)🎯
| 对比项 | IAM User | IAM 身份中心 |
|---|---|---|
| 登录方式 | 用户名 + Access Key | 统一门户 |
| 多账号 | 管理复杂 | 原生支持 |
| 安全性 | 易泄露 key | 无长期 key |
| 企业推荐 | ❌ | ✅ |
十、一句话总结(你可以直接背)📌
IAM Identity Center 用于集中管理 AWS 用户身份,通过用户和组分配 Permission Sets,让用户安全地访问一个或多个 AWS 账号,而无需创建 IAM User 或使用长期访问密钥。
