本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 正在设置 AWS TNB
通过完成本主题中描述的任务来设置 AWS TNB。
**Topics**
+ [注册获取 AWS 账户](#sign-up-for-aws)
+ [创建具有管理访问权限的用户](#create-an-admin)
+ [选择一个 AWS 地区](#choose-region)
+ [记下服务端点](#endpoints)
+ [(可选)安装 AWS CLI](#install-aws-cli)
+ [设置 AWS TNB 角色](#set-service-roles)
## 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**报名参加 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
## 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 选择一个 AWS 地区
要查看 AWS TNB 可用区域列表,请参阅[AWS 区域服务列表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。要查看用于编程访问的端点列表,请参阅中《AWS 一般参考》**的 [AWS TNB endpoints](https://docs.aws.amazon.com/general/latest/gr/tnb.html)。
## 记下服务端点
要以编程方式连接到 AWS 服务,请使用终端节点。除了标准 AWS 终端节点外,一些 AWS 服务还在选定区域提供 FIPS 终端节点。有关更多信息,请参阅 [AWS service endpoint](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
| 区域名称 | 区域 | 端点 | 协议 |
| --- | --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | tnb.us-east-1.amazonaws.com | HTTPS |
| 美国西部(俄勒冈州) | us-west-2 | tnb.us-west-2.amazonaws.com | HTTPS |
| 亚太地区(首尔) | ap-northeast-2 | tnb.ap-northeast-2.amazonaws.com | HTTPS |
| 亚太地区(悉尼) | ap-southeast-2 | tnb.ap-southeast-2.amazonaws.com | HTTPS |
| 加拿大(中部) | ca-central-1 | tnb.ca-central-1.amazonaws.com | HTTPS |
| 欧洲地区(法兰克福) | eu-central-1 | tnb.eu-central-1.amazonaws.com | HTTPS |
| 欧洲地区(巴黎) | eu-west-3 | tnb.eu-west-3.amazonaws.com | HTTPS |
| 欧洲(西班牙) | eu-south-2 | tnb.eu-south-2.amazonaws.com | HTTPS |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | tnb.eu-north-1.amazonaws.com | HTTPS |
| 南美洲(圣保罗) | sa-east-1 | tnb.sa-east-1.amazonaws.com | HTTPS |
## (可选)安装 AWS CLI
AWS Command Line Interface (AWS CLI) 为各种 AWS 产品提供命令,并在 Windows、macOS 和 Linux 上受支持。您可以使用访问 AWS TNB。 AWS CLI要开始使用,请参阅[《AWS Command Line Interface 用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。有关 AWS TNB 命令的更多信息,请参阅《*AWS CLI 命令*参考》中的 [tnb](https://docs.aws.amazon.com/cli/latest/reference/tnb/)。
## 设置 AWS TNB 角色
您必须创建 IAM 服务角色才能管理 AWS TNB 解决方案的不同部分。 AWS TNB 服务角色可以代表您对其他 AWS 服务(例如 AWS CloudFormation AWS CodeBuild、以及各种计算和存储服务)进行 API 调用,以实例化和管理用于部署的资源。
有关 AWS TNB 服务角色的更多信息,请参阅[AWS TNB 的身份和访问管理](security-iam.md)。