终止支持通知:2025 年 9 月 10 日, AWS
将停止对的支持。 AWS RoboMaker2025 年 9 月 10 日之后,您将无法再访问 AWS RoboMaker 控制台或 AWS RoboMaker 资源。有关过渡 AWS Batch 到以帮助运行容器化仿真的更多信息,请访问此博客文章。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM 入门
AWS Identity and Access Management (IAM) 是一项 AWS 允许您安全地管理对服务和资源的访问的服务。IAM 是您 AWS 账户的一项功能,不收取额外费用。
注意
在开始使用 IAM 之前,请阅读有关 AWS RoboMaker的身份验证和访问控制 的介绍性信息。
创建时 AWS 账户,首先要有一个登录身份,该身份可以完全访问账户中的所有资源 AWS 服务 和资源。此身份被称为 AWS 账户 root 用户,使用您创建帐户时使用的电子邮件地址和密码登录即可访问该身份。强烈建议您不要使用根用户执行日常任务。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。有关要求您以根用户身份登录的任务的完整列表,请参阅 IAM 用户指南中的需要根用户凭证的任务。
创建 IAM 管理员用户
要创建管理员用户,请选择以下选项之一。
| 选择一种方法来管理您的管理员 | 目的 | 方式 | 您也可以 |
|---|---|---|---|
| 在 IAM Identity Center 中 (建议) |
使用短期凭证访问 AWS。 这符合安全最佳实操。有关最佳实践的信息,请参阅《IAM 用户指南》中的 IAM 中的安全最佳实践。 |
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的入门。 | 通过在《AWS Command Line Interface 用户指南》 AWS IAM Identity Center中配置 AWS CLI 要使用的来配置编程访问权限。 |
| 在 IAM 中 (不推荐使用) |
使用长期凭证访问 AWS。 | 按照《IAM 用户指南》中的创建用于紧急访问的 IAM 用户中的说明进行操作。 | 按照《IAM 用户指南》中的管理 IAM 用户的访问密钥,配置编程式访问。 |
为其创建委托用户 AWS RoboMaker
要在您的 AWS 账户中支持多个用户,您必须委派权限以允许其他人仅执行您想要允许的操作。为此,请创建一个 IAM 组(其中具有这些用户所需的权限),然后在创建必要的组时将 IAM 用户添加到这些组。您可以使用此过程为整个 AWS 账户设置群组、用户和权限。此解决方案最适合 AWS 管理员可以手动管理用户和群组的中小型组织。对于大型企业,您可以使用自定义 IAM 角色、联合身份验证或单点登录。
有关委派用户的示例和更多信息,请参阅IAM 用户指南中创建向 IAM 用户委派权限的角色。
允许用户自行管理他们的凭证
您必须拥有对将托管用户的虚拟 MFA 设备的硬件的物理访问权限以便配置 MFA。例如,您可能为使用在智能手机上运行的虚拟 MFA 设备的用户配置 MFA。在这种情况下,您必须具有智能手机才能完成该向导。因此,您可能想让用户配置和管理他们自己的虚拟 MFA 设备。在此情况下,您必须授予用户执行必要的 IAM 操作所需的权限。
有关授予必要权限的策略示例,请参阅IAM 用户指南中的IAM:允许 IAM 用户自行管理 MFA设备。
为 IAM 用户 启用 MFA
为了提高安全性,我们建议所有 IAM 用户配置多重身份验证 (MFA),以帮助保护 AWS RoboMaker 您的资源。MFA 增加了额外的安全性,因为它要求用户除了常规登录凭证外,还需要提供来自 AWS支持的 MFA 设备的唯一身份验证。有关设置说明和有关MFA 选项的更多信息,请参阅 IAM 用户指南 AWS中的为用户启用 MFA 设备。
注意
您必须拥有对将托管用户的虚拟 MFA 设备的移动设备的物理访问权限以便为 IAM 用户配置 MFA。
