终止支持通知:2026 年 10 月 7 日, AWS 将终止对的支持。 AWS Proton 2026 年 10 月 7 日之后,您将无法再访问 AWS Proton 控制台或 AWS Proton 资源。您部署的基础架构将保持不变。有关更多信息,请参阅《[AWS Proton 服务弃用和迁移指南》](https://docs.aws.amazon.com/proton/latest/userguide/proton-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 IAM 进行设置
当您注册时 AWS,系统 AWS 账户 会自动注册使用中的所有服务 AWS,包括 AWS Proton。您只需为使用的服务和资源付费。
**注意**
您和您的团队(包括管理员和开发人员)必须位于同一账户中。
## 报名参加 AWS
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**报名参加 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
## 创建 IAM 用户
要创建管理员用户,请选择以下选项之一。
****
| 选择一种方法来管理您的管理员 | 目的 | 方式 | 您也可以 |
| --- | --- | --- | --- |
| 在 IAM Identity Center 中 (建议) | 使用短期凭证访问 AWS。这符合安全最佳实操。有关最佳实践的信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。 | 有关说明,请参阅《AWS IAM Identity Center 用户指南》中的[入门](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html)。 | 通过在《AWS Command Line Interface 用户指南[》 AWS IAM Identity Center中配置 AWS CLI 要使用的来](https://docs.aws.amazon.com//cli/latest/userguide/cli-configure-sso.html)配置编程访问权限。 |
| 在 IAM 中 (不推荐使用) | 使用长期凭证访问 AWS。 | 按照《IAM 用户指南》中的[创建用于紧急访问的 IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started-emergency-iam-user.html)中的说明进行操作。 | 按照《IAM 用户指南》中的[管理 IAM 用户的访问密钥](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_access-keys.html),配置编程式访问。 |
## 设置 AWS Proton 服务角色
您可能需要为 AWS Proton 解决方案的不同部分创建几个 IAM 角色。您可以使用 IAM 控制台提前创建它们,也可以使用 AWS Proton 控制台为您创建它们。
创建 AWS Proton *环境角色*以允许代表您 AWS Proton 向其他(例如 AWS 服务 CloudFormation AWS CodeBuild、)以及各种计算和存储服务发出 API 调用,从而为您配置资源。在环境或其中运行的任何服务实例使用 [AWS托管式预置](ag-works-prov-methods.md#ag-works-prov-methods-direct)时,需要具有 *AWS托管式预置角色*。当环境或其任何服务实例使用[CodeBuild预配](ag-works-prov-methods.md#ag-works-prov-methods-codebuild)时,需要一个*CodeBuild角色*。要了解有关 AWS Proton 环境角色的更多信息,请参阅[IAM 角色](ag-environment-roles.md)。[创建环境](ag-create-env.md)时,您可以使用 AWS Proton 控制台为这两个角色中的任何一个选择现有角色,或者为您创建具有管理权限的角色。
同样,创建 AWS Proton *管道角色* AWS Proton 以允许代表您对其他服务进行 API 调用,从而为您配置 CI/CD 管道。要了解有关 AWS Proton 管道角色的更多信息,请参阅[AWS Proton 管道服务角色](security_iam_service-role-policy-examples.md#codepipeline-proton-svc-role)。有关配置 CI/CD 设置的更多信息,请参阅[设置账户 CI/CD 渠道设置](setting-up-for-service.md#setting-up-pr-pipelines)。
**注意**
由于我们不知道您将在 AWS Proton 模板中定义哪些资源,因此您使用控制台创建的角色具有广泛的权限,可以用作 AWS Proton 管道服务角色和 AWS Proton 服务角色。对于生产部署,我们建议您通过为 AWS Proton 管道服务角色和 AWS Proton 环境服务角色创建自定义策略,缩小将要部署的特定资源的权限范围。您可以使用 AWS CLI 或 IAM 创建和自定义这些角色。有关更多信息,请参阅[的服务角色 AWS Proton](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service)和[创建服务](ag-create-svc.md)。