本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为创建 IAM 管理组 AWS CloudHSM
<a name="create-iam-user"></a>

入门的第一步 AWS CloudHSM 是设置 IAM 权限。

作为[最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)，请勿使用您的 AWS 账户根用户 与之互动 AWS，包括 AWS CloudHSM。而是使用 AWS Identity and Access Management (IAM) 创建 IAM 用户、IAM 角色或联合用户。按照一节[创建 IAM 用户和管理员组](#create-iam-admin)中的步骤创建管理员群组并将**AdministratorAccess**策略附加到该群组。然后，创建新的管理员用户并将该用户添加到该组中。根据需要向组添加其他用户。您添加的每个用户都将从该组继承**AdministratorAccess**策略。

另一种最佳做法是创建一个仅具有运行所需权限的 AWS CloudHSM 管理员组 AWS CloudHSM。根据需要向此组添加单独用户。每个用户将继承已附加到该组的有限权限，而不是全部的 AWS 访问权限。以下[客户管理的政策 AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm)部分包含您应附加到 AWS CloudHSM 管理员组的策略。

AWS CloudHSM 为您的 AWS 账户定义[服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务关联角色当前定义了允许您的账户记录 AWS CloudHSM 事件的权限。该角色可以由您自动创建， AWS CloudHSM 也可以由您手动创建。您无法修改该角色，但可以将其删除。有关更多信息，请参阅 [的服务相关角色 AWS CloudHSM](service-linked-roles.md)。

## 创建 IAM 用户和管理员组
<a name="create-iam-admin"></a>

首先创建一个 IAM 用户及其管理员组。

### 注册获取 AWS 账户
<a name="sign-up-for-aws"></a>

如果您没有 AWS 账户，请完成以下步骤来创建一个。

**报名参加 AWS 账户**

1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)

1. 按照屏幕上的说明操作。

   在注册时，将接到电话或收到短信，要求使用电话键盘输入一个验证码。

   当您注册时 AWS 账户，就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”，查看您当前的账户活动并管理您的账户**。

### 创建具有管理访问权限的用户
<a name="create-an-admin"></a>

注册后，请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center，启用并创建管理用户，这样您就不会使用 root 用户执行日常任务。

**保护你的 AWS 账户根用户**

1.  选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址，以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上，输入您的密码。

   要获取使用根用户登录方面的帮助，请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 为您的根用户启用多重身份验证（MFA）。

   有关说明，请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**创建具有管理访问权限的用户**

1. 启用 IAM Identity Center。

   有关说明，请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，为用户授予管理访问权限。

   有关使用 IAM Identity Center 目录 作为身份源的教程，请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录，请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。

  有关使用 IAM Identity Center 用户[登录的帮助，请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**将访问权限分配给其他用户**

1. 在 IAM Identity Center 中，创建一个权限集，该权限集遵循应用最低权限的最佳做法。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 将用户分配到一个组，然后为该组分配单点登录访问权限。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

有关您可以附加 AWS CloudHSM 到 IAM 用户组的策略示例，请参阅[的身份和访问管理 AWS CloudHSM](identity-access-management.md)。