本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控制访问权限 AWS Marketplace 管理门户
<a name="marketplace-management-portal-user-access"></a>

AWS Identity and Access Management (IAM) AWS 服务 可帮助您控制对 AWS 资源的访问权限。如果您是管理员，则可以控制谁可以*进行身份验证*（登录）和*授权*（拥有权限）使用 AWS Marketplace 资源。您可以使用 IAM AWS 服务 ，无需支付额外费用。

控制谁能在中执行操作的推荐方法 AWS Marketplace 管理门户 是使用 IAM 创建用户和群组。然后，您将用户添加到组并管理组。例如，如果应允许 John 查看您的产品，则为他创建用户并将其用户添加到您为进行只读访问而创建的组。您可以为该群组分配提供只读权限的策略或权限。如果您有其他用户需要只读访问权限，您可以将其添加到您创建的组，而不是为用户添加权限。如果 John 的角色发生变化而不再需要只读访问权限，您可以从组中删除 John。

*策略* 是定义应用于用户、组或角色的权限的文档。反过来，权限确定用户可以在 AWS中执行的操作。策略通常允许访问特定操作，可以选择授权允许对特定资源（如 Amazon EC2 实例、Amazon S3 存储桶等）执行操作。策略还可以显式拒绝访问。*权限* 是策略中允许或拒绝访问特定资源的语句。您可以通过以下方式声明任意权限：“A has permission to do B to C.”例如，Jane (A) 有权从 John 的 Amazon Simple Queue Service 队列 (C) 读取消息 (B)。无论 Jane 何时向 Amazon SQS 发送使用 John 的队列的请求，该服务均会检查她是否具有权限。它还进一步检查请求是否满足 John 在权限中指定的条件。

**重要**  
您创建的所有用户使用其凭证进行身份验证。但是，他们使用相同的 AWS 账户。用户进行的任何更改可能影响整个账户。

 AWS Marketplace 已定义权限以控制拥有这些权限的用户可以执行的操作 AWS Marketplace 管理门户。还有一些策略可以 AWS Marketplace 创建和管理这些策略，这些策略结合了多种权限。

 以下资源提供有关开始使用以及使用 IAM 的更多信息。
+  [创建管理用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) 
+  [IAM 安全最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [管理 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#create-managed-policy-console) 
+  [将策略附加到 IAM 用户组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html) 
+  [IAM 身份（用户、组和角色）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) 
+  [使用策略控制对 AWS 资源的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_permissions.html) 

 下面主题提供一些用于创建用户和组以及以用户身份登录的高级指导原则。

**Topics**
+ [创建 用户](#creating-iam-users)
+ [创建或使用组](#creating-iam-groups)
+ [作为用户登录](#signing-in-using-iam-user)

## 创建 用户
<a name="creating-iam-users"></a>

要允许贵公司的人员登录 AWS Marketplace 管理门户，请为每个需要访问权限的人员创建一个用户。

**创建用户**

1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格的**访问管理**下，选择**角色**，然后选择**创建角色**。

1. 在带编号的文本框中，为每个要创建的用户输入名称。

1. 清除**为每个用户生成访问密钥**旁的复选框，然后选择**创建**。

**为刚创建的每个用户分配密码**

1. 在用户列表中，选择新用户的名称。

1. 选择**安全凭证**选项卡，然后选择**管理密码**。

1. 为自动生成的密码或自定义密码选择一个选项。或者，若要求用户在下次登录时选择新密码，请选中**要求用户在下次登录时创建新密码**的复选框。选择**应用**。

1. 选择**下载凭证**，将登录凭证和账户特定的登录 URL 以逗号分隔值 (CSV) 文件保存到计算机上。然后选择**关闭**。

**注意**  
要使用您刚刚创建的登录凭证登录，用户必须导航到您的账户专属登录 URL。此 URL 位于您刚刚下载的凭证文件中，也可在 IAM 控制台上找到。有关更多信息，请参阅《IAM 用户指南》**中的[IAM 用户如何登录 AWS 账户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_sign-in.html)。

**提示**  
即使您是 AWS 账户 所有者，也可以为自己创建登录凭证。对于在 AWS Marketplace 中作为用户工作的所有人（甚至包括账户所有者），这是建议的最佳实践。有关如何为自己创建具有管理权限的用户的说明，请参阅《IAM 用户指南》中的[创建管理用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)**。

## 创建或使用组
<a name="creating-iam-groups"></a>

 创建用户后，请创建组，创建用于访问 AWS Marketplace 管理门户中页面的权限，将这些权限添加到组，然后将用户添加到组。

 当您将权限分配到组时，就允许该组的任何成员执行特定操作。当您向组中添加新用户时，该用户自动获得分配给该组的权限。组可以拥有执行多个操作的权限。我们建议使用 [AWS Marketplace 托管策略](https://docs.aws.amazon.com/marketplace/latest/userguide/security-iam-awsmanpol.html)，而不是创建您自己的策略。

**为组分配托管策略 AWS Marketplace**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在导航窗格中，选择**组**，然后选择要向其附加策略的组。

1. 在组的摘要页面上，在**权限**选项卡下，选择**附加策略**。

1. 在**附加策略**页上的**筛选条件:** 旁边，输入 **awsmarketplace**。

1. 选择要附加的一个或多个策略，然后选择**附加策略**。

**创建具有 AWS Marketplace 管理门户 权限的策略**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在导航窗格中选择**策略**，然后选择**创建策略**。

1. 在**策略生成器**旁，选中**选择**。

1. 在**编辑权限**页面上，执行以下操作：

   1. 对于**效果**，选择**允许**。

   1. 对于 **AWS 服务**，选择 **AWS Marketplace 管理门户**。

   1. 对于**操作**，选择要允许的一个或多个权限。

   1. 选择**添加声明**。

   1. 选择**下一步**。

1. 在**查看策略**页面上，执行以下操作：

   1. 对于**策略名称**，输入此策略的名称。请记录此策略名称，因为您在后面的步骤中需要使用它。

   1. （可选）对于**描述**，输入此策略的描述。

   1. 选择**创建策略**。

**创建具有适当权限的IAM 组，并将用户添加到该组中**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在导航窗格中，选择**组**，然后选择**创建新组**。

1. 对于**组名称：**，键入组的名称。然后选择**下一步**。

1. 在**附加策略**页面上，执行以下操作：

   1. 对于**筛选条件：**，选择**客户管理型策略**。

   1. 选中要附加到此组的策略名称旁边的复选框。这通常是您刚刚创建的策略。

   1. 选择**下一步**。

1. 选择**创建组**。

1. 在**组**列表中找到您的新组，然后选中它旁边的复选框。选择**组操作**，然后单击**将用户添加到组**。

1. 选中要添加到组的每个用户旁边的复选框，然后选择**添加用户**。

## 作为用户登录
<a name="signing-in-using-iam-user"></a>

在 IAM 中创建用户后，用户可以使用自己的登录凭证登录。为此，他们需要使用与您的 AWS 账户相关联的唯一 URL。您可以获取登录 URL 并向用户分发。

**获取您账户的唯一登录网址**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在导航窗格中，选择**控制面板**。

1. 在内容窗格顶部附近，找到 **IAM 用户的登录链接：**并记下登录链接，其格式如下所示：

   ```
    https://AWS_account_ID.signin.aws.amazon.com/console/
   ```
**注意**  
如果您希望登录页面的 URL 包含您的公司名称（或其他友好标识符）而不是您的 AWS 账户 ID，则可以通过选择 “**自定义**” 为您的账户创建别名。有关更多信息，请参阅 *IAM 用户指南*中的[您的 AWS 账户 ID 及其别名](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html)。

1. 将此 URL 以及您为每个人创建的登录凭据分发给贵公司中可以与之合作的人。 AWS Marketplace指导他们在访问 AWS Marketplace之前使用您账户的唯一登录 URL 进行登录。