创建IAM用户

操作步骤

1. 管理员登录统一身份认证服务新版控制台。
2. 在统一身份认证服务左侧导航窗格中，选择“用户”，单击右上方的“创建用户”。
   图1 创建用户
   

3. 在“创建用户”页面配置“用户名”。用户名只能包含大小写字母、空格、数字或特殊字符(-_.)且不能以数字或空格开头。
   图2 配置用户名
   

4. 选择是否开启管理控制台访问。如需开启该功能，建议选择在IAM身份中心控制台中创建用户。
   • 开启：用户将拥有访问控制台的权限，可以登录管理控制台访问云服务。同时也可以创建访问密钥后通过API、CLI、SDK等开发工具访问云服务。
   • 不开启：用户无法设置密码，也无法使用密码登录控制台访问云服务。用户仅能创建访问密钥后通过API、CLI、SDK等开发工具访问云服务。

5. 如果仍然选择创建IAM用户，则需要配置密码类型。
   • 自定义创建：自定义用户密码，并选择用户首次登录时是否需要重置密码。
   • 自动生成：系统自动生成IAM用户的登录密码，创建完用户即可下载excel形式的密码文件。将密码文件提供给用户，用户使用该密码登录。
     图3 密码设置
     

6. （可选）选择权限配置方式。可以选择按用户组配置或按身份策略配置。
   • 按用户组配置：可以将用户加入一个或多个用户组，用户将拥有其所在用户组权限的合集。如果您需要为多个用户附加相同的权限，建议使用此方式。
     勾选要加入的用户组，将用户加入到用户组。

     

     • 如需创建新的用户组，可单击“创建用户组”，创建完成并勾选该用户组，用户将加入到新创建的用户组中。
     • 如果想给用户授予管理员权限，可以将其加入默认用户组“admin”中。
     • 一个用户最多可以同时加入10个用户组。
   • 按身份策略配置：为用户选择身份策略，用户将拥有对应的策略权限。

     勾选需要授予用户的身份策略，身份策略将直接附加至用户。

     

     • 如需创建新的自定义身份策略，可单击“创建自定义身份策略”，创建完成并勾选该身份策略，该身份策略将附加至用户。
     • 一个用户默认可以同时绑定10个身份策略，最大可以同时绑定20个身份策略。

7. 单击“创建用户”，IAM用户创建完成，用户列表中显示新创建的IAM用户。

   如果步骤5勾选了“密码设置 > 自动生成”，可在此页面下载密码。

   

   • 在此页面仅能下载密码一次，如果创建完IAM用户但是又没有下载密码，则只能通过重置密码的方式重新获取。
   图4 创建成功
   

推荐使用在IAM身份中心控制台创建用户

在华为云中管理访问权限时，IAM用户通常并非最佳选择。在大多数使用案例中，您应该避免依赖IAM用户，原因有如下方面：

• IAM用户是为个人账号设计的，因此随着组织的发展，管理大量IAM用户的权限和安全会面临越来越大的挑战。
• IAM用户还缺乏集中可见性和审计功能，这可能会使安全性和监管合规性变得更具挑战性。

更好的解决方案是使用IAM身份中心的用户，使用IAM身份中心的用户主要有如下优势：

• 简化访问：

  用户可以通过单点登录，访问多个华为云账号和应用程序，避免在多个用户名/密码来回切换。

• 与企业身份源集成：

  支持与Active Directory、Okta等企业身份源集成，简化了用户同步和管理流程。

• 灵活的身份源选择：

  支持使用IAM身份中心默认身份源或连接到外部身份源，满足不同企业的需求。

• 降低管理成本：

  通过SCIM协议同步外部身份源用户，避免频繁手工创建用户和更新用户属性的工作量，降低了管理成本。

后续操作

• 如果管理员在创建IAM用户时，没有将其加入任何用户组或附加任何策略，管理员可以在IAM控制台为其授予权限。授权后，用户即可根据权限使用账号中的云服务资源。详情请参考给IAM用户授权。
• IAM用户的登录方式与华为账号/华为云账号的登录方式不同，详情请参见IAM用户登录。