本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 添加初始用户
<a name="add-initial-users"></a>

有两种方法向用户授予对 AWS 账户的访问权限：
+ IAM 身份，例如：用户、组和角色
+ 身份联合，例如使用 AWS IAM Identity Center

在小型公司和单账户环境中，管理员通常会在有新人加入公司时创建 IAM 用户。与 IAM 用户关联的访问密钥和私密密钥凭证称为*长期凭证*，因为它们不会过期。但是，这并不是推荐的安全最佳实践，因为如果攻击者破解了这些凭证，则您必须为用户生成一组新的凭证。另一种访问方法 AWS 账户 是通过 [IAM 角色](https://aws.amazon.com/blogs/startups/how-setting-up-iam-users-and-iam-roles-can-help-keep-your-startup-secure/)进行访问。您也可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html)（AWS STS）临时请求*短期凭证*，它将在一段可配置的时间后过期。

您可以 AWS 账户 通过 [IAM 身份中心](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)管理人们对您的访问权限。您可以为每位员工或承包商创建个人用户账户，他们可以管理自己的密码和多重身份验证（MFA）解决方案，也可以对他们进行分组以管理访问权限。配置 MFA 时，您可以使用软件令牌，例如身份验证器应用程序，也可以使用硬件令牌，例如设备。 YubiKey 

IAM 身份中心还支持来自外部身份提供商 (IdPs) 的联合，例如 Okta JumpCloud、和 Ping Identity。有关更多信息，请参阅[支持的身份提供者](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html)（IAM Identity Center documentation 文档）。通过与外部 IdP 联合，您可以跨应用程序管理用户身份验证，然后使用 IAM Identity Center 向特定应用程序授予访问权限。 AWS 账户

## 最佳实践
<a name="users-best-practices"></a>
+ 遵循配置用户访问权限的[安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)（IAM 文档）。
+ 按组而不是个人用户管理账户访问权限。在 IAM Identity Center 中，创建代表您的每项业务职能的新组。例如，您可以为工程、财务、销售和产品管理等部门创建组。
+ 通常，将需要访问所有 AWS 账户 的人（通常只有只读访问权限）以及需要访问单个 AWS 账户的人分开来定义组。我们建议您对群组使用以下命名约定，以便于识别与群组关联的 AWS 账户 和权限。

  `<prefix>-<account name>-<permission set>`
+ 例如，对于组 `AWS-A-dev-nonprod-DeveloperAccess`，`AWS-A` 是一个前缀，表示对单个账户的访问权限，`dev-nonprod` 是账户的名称，`DeveloperAccess` 是分配给该组的权限集。对于组 `AWS-O-BillingAccess`，`AWS-O` 前缀表示具有对整个组织的访问权限，`BillingAccess` 表示该组的权限集。在本例中，由于组有权访问整个组织，因此组名中没有显示账户名。
+ 如果您将 IAM Identity Center 与外部基于 SAML 的 IdP 一起使用，并且希望要求 MFA，则可以使用基于属性的访问权限控制（ABAC）将身份验证方法从 IdP 传递到 IAM Identity Center。这些属性通过 SAML 断言发送。有关更多信息，请参阅[启用和配置访问控制的属性](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html)（IAM Identity Center 文档）。

  许多公司 IdPs，例如微软 Azure Active Directory 和 Okta，可以使用 SAML 断言中的身份验证方法参考 (`amr`) 声明将用户的 MFA 状态传递给 IAM 身份中心。用于断言 MFA 状态的声明及其格式因 IdP 而异。有关更多信息，请参阅您的 IdP 的相应文档。

  然后，您可以在 IAM Identity Center 中创建权限集策略来确定谁可以访问您的 AWS 资源。当您启用 ABAC 并指定属性时，IAM Identity Center 会将经过身份验证的用户的属性值传递到 IAM，以便在策略评估中使用。有关更多信息，请参阅[为 ABAC 创建权限策略](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac-policies.html)（IAM Identity Center 文档）。如以下示例所示，您可以使用 `aws:PrincipalTag` 条件键为 MFA 创建访问控制规则。

  ```
  "Condition": {
    "StringLike": { "aws:PrincipalTag/amr": "mfa" }
  }
  ```