本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 什么是 AWS 登录？
<a name="what-is-sign-in"></a>

本指南可帮助您了解不同类型的用户登录 Amazon Web Services (AWS) 的不同方式。有关如何根据您的用户类型和要访问的 AWS 资源进行登录的更多信息，请参阅以下教程之一。
+ [登录 AWS 管理控制台](how-to-sign-in.md)
+ [登录您的 AWS 访问门户](iam-id-center-sign-in-tutorial.md)
+ [以联合身份登录](federated-identity-overview.md)
+ [通过登录 AWS Command Line Interface](command-line-sign-in.md)
+ [使用登录 AWS 构建者 ID](sign-in-builder-id.md)

如果您在登录时遇到问题 AWS 账户，请参阅[AWS 账户 登录问题疑难解答](troubleshooting-sign-in-issues.md)。如需帮助， AWS 构建者 ID 请参阅[排查 AWS 生成器 ID 问题](troubleshooting-builder-id-issues.md)。想要创建一个 AWS 账户？ [注册 AWS](https://portal.aws.amazon.com/billing/signup#/start/email). 有关注册如何为您或您的组织提供帮助的更多信息，请参阅[联系我们](https://aws.amazon.com/contact-us/sales-support-1v/)。 AWS 

**Topics**
+ [术语](#terminology)
+ [可供 AWS 登录的区域](#sign-in-regions)
+ [登录事件记录](#sign-in-events)
+ [确定您的用户类型](user-types-list.md)
+ [确定您的登录 URL](sign-in-urls-defined.md)
+ [要添加到允许列表的域](allowlist-domains.md)
+ [AWS 账户 管理员安全最佳实践](best-practices-admin.md)

## 术语
<a name="terminology"></a>

Amazon Web Services (AWS) 使用[常用术语](https://docs.aws.amazon.com//general/latest/gr/glos-chap.html)来描述登录流程。我们建议您阅读并理解这些术语。

### 管理员
<a name="administrator"></a>

也称为 AWS 账户 管理员或 IAM 管理员。管理员通常是信息技术（IT）人员，负责监管 AWS 账户。管理员比组织中的其他成员具有更高级别的 AWS 账户 权限。管理员为建立和实施设置 AWS 账户。他们还会创建 IAM 用户或 IAM Identity Center 用户。管理员向这些用户提供用于登录 AWS的访问凭证和登录 URL。

### Account
<a name="account"></a>

标准 AWS 账户 包含您的 AWS 资源和可以访问这些资源的身份。账户与账户所有者的电子邮件地址和密码关联。

### 凭据
<a name="credentials"></a>

也称作访问凭证或安全凭证。在身份验证和授权中，系统使用凭证来识别谁在执行调用并决定是否允许请求的访问。凭证是用户为 AWS 登录和获取 AWS 资源访问权限而提供的信息。人类用户的凭证包括电子邮件地址、用户名、用户定义的密码、账户 ID 或别名、验证码和一次性多重身份验证 (MFA) 代码。对于编程访问，您还可以使用访问密钥。我们建议尽可能使用短期访问密钥。

有关凭证的更多信息，请参阅[AWS 安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)。

**注意**  
用户必须提交的凭证类型取决于其用户类型。

### 公司凭证
<a name="corporate-credentials"></a>

用户在访问公司网络和资源时提供的凭证。您的公司管理员可以将您设置 AWS 账户 为使用与您访问公司网络和资源相同的凭据。这些凭证由管理员或帮助中心员工提供给您。

### 配置文件
<a name="profile-builder-id"></a>

注册 AWS 建筑商 ID 时，您就创建了个人资料。您的配置文件包含您提供的联系信息，并让您能够管理多重身份验证 (MFA) 设备和活动会话。您还可以在配置文件中详细了解隐私条款以及我们如何处理您的数据。如需详细了解配置文件及其与 AWS 账户的关系，请参阅 [AWS 构建者 ID 和其他 AWS 证书](differences-builder-id.md)。

### 根用户凭证
<a name="root-user-credentials"></a>

根用户凭据是用于创建 AWS 账户的电子邮件地址和密码。为了提高安全性，我们强烈建议将 MFA 添加到根用户凭证。根用户凭证提供对账户中所有 AWS 服务和资源的完全访问权限。有关根用户的更多信息，请参阅 [根用户](user-types-list.md#account-root-user-type)。

### 用户
<a name="user"></a>

用户是指有权对 AWS 产品进行 API 调用或访问 AWS 资源的个人或应用程序。每个用户均有一组唯一的无法与其他用户共享的安全凭证。这些凭证独立于 AWS 账户的安全凭证。有关更多信息，请参阅 [确定您的用户类型](user-types-list.md)。

### 验证代码
<a name="verification-code-defined"></a>

在登录过程中，验证码[使用多重身份验证 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) 来验证您的身份。验证码的送达方式有多种类型。可以通过短信或电子邮件发送验证码。有关更多信息，请咨询您的管理员：

## 可供 AWS 登录的区域
<a name="sign-in-regions"></a>

AWS 登录有几种常用 AWS 区域版本。这种可用性使您可以更轻松地访问 AWS 服务和业务应用程序。有关登录支持的区域的完整列表，请参阅 [AWS 登录端点和限额](https://docs.aws.amazon.com/general/latest/gr/signin-service.html)。

## 登录事件记录
<a name="sign-in-events"></a>

 CloudTrail 会在您的系统上自动启用 AWS 账户 ，并在活动发生时记录事件。以下资源可帮助您进一步了解登录事件的记录和监控。
+ CloudTrail 记录尝试登录 AWS 管理控制台。所有 IAM 用户、根用户和联合用户登录事件都会在 CloudTrail 日志文件中生成记录。有关更多信息，请参阅 *AWS CloudTrail 用户指南*中的 [AWS 管理控制台 登录事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-aws-console-sign-in-events.html)。
+ 如果您使用区域终端节点登录 AWS 管理控制台，则会在终端节点的相应区域中 CloudTrail 记录`ConsoleLogin`事件。有关 AWS 登录端点的更多信息，请参阅《*AWS 通用参考*指南》中的[AWS 登录端点和配额](https://docs.aws.amazon.com/general/latest/gr/signin-service.html)。
+ 要详细了解如何 CloudTrail 记录 IAM Identity Center 的登录事件，请参阅 [IAM 身份中心*用户指南中的了解 IAM 身份中心*登录事件](https://docs.aws.amazon.com/singlesignon/latest/userguide/understanding-sign-in-events.html)。
+  要详细了解如何在 IAM 中 CloudTrail 记录不同的用户身份信息，请参阅*AWS Identity and Access Management 用户指南 AWS CloudTrail*中的[使用记录 IAM 和 AWS STS API 调用](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html)。

# 确定您的用户类型
<a name="user-types-list"></a>

您的登录方式取决于您的 AWS 用户类型。您可以作为根用户、IAM 用户、IAM Identity Center 用户或联合身份管理 AWS 账户 。您可以使用 AWS Builder ID 配置文件来访问某些 AWS 服务和工具。下面列出了各种用户类型。

**Topics**
+ [根用户](#account-root-user-type)
+ [IAM 用户](#iam-user-type)
+ [IAM Identity Center 用户](#sso-user-type)
+ [联合身份](#federated-identity-type)
+ [AWS 生成器 ID 用户](#builder-id-type)

## 根用户
<a name="account-root-user-type"></a>

也称为账户所有者或账户根用户。作为 root 用户，您可以完全访问您的中的所有 AWS 服务和资源 AWS 账户。首次创建时 AWS 账户，首先要有一个单点登录身份，该身份可以完全访问账户中的所有 AWS 服务和资源。此身份是 AWS 账户 root 用户。您可以使用在创建账户所用的电子邮件地址和密码以根用户身份登录。根用户使用 [AWS 管理控制台](https://console.aws.amazon.com/) 登录：有关如何登录的分步说明，请参阅 [以 root 用户身份登录 AWS 管理控制台](introduction-to-root-user-sign-in-tutorial.md)。

**重要**  
 创建时 AWS 账户，首先会有一个名为 AWS 账户 *root 用户的*登录身份，该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务，请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

有关 IAM 身份（包括根用户）的更多信息，请参阅 [IAM 身份（用户、用户组和角色）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。

## IAM 用户
<a name="iam-user-type"></a>

IAM 用户是您在 AWS中创建的实体。此用户是 AWS 账户 中具有特定自定义权限的身份。IAM 用户凭证由用于登录 [AWS 管理控制台](https://console.aws.amazon.com/) 的用户名和密码组成。有关如何登录的分步说明，请参阅 [以 IAM 用户 AWS 管理控制台 身份登录](introduction-to-iam-user-sign-in-tutorial.md)。

有关 IAM 身份（包括 IAM 用户）的更多信息，请参阅 [IAM 身份（用户、用户组和角色）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。

## IAM Identity Center 用户
<a name="sso-user-type"></a>

IAM Identity Center 用户是您的访问门户网站的成员， AWS Organizations AWS 账户 并可被授予 AWS 访问多个应用程序的权限。如果公司已将 Active Directory 或其他身份提供者与 IAM Identity Center 集成，则 IAM Identity Center 用户可以使用公司凭证登录。IAM Identity Center 也可以是身份提供者，管理员可以在其中创建用户。无论身份提供商是谁，IAM Identity Center 中的用户都使用您的 AWS 访问门户登录，该门户是其组织的特定登录 URL。IAM Identity Center 用户**不能**通过 AWS 管理控制台 URL 登录。

IAM Identity Center 中的人类用户可以通过以下任一方式获取您的 AWS 访问门户 URL：
+ 来自管理员或帮助中心员工的消息
+ 一封来自 AWS 的电子邮件，其中包含加入 IAM 身份中心的邀请



**提示**  
IAM Identity Center 服务从 **no-reply@signin.aws** 或 **no-reply@login.awsapps.com** 发出的所有电子邮件。我们建议您配置自己的电子邮件系统，以便接受来自这些发件人电子邮件地址的电子邮件，而不将其视为垃圾邮件。

有关如何登录的分步说明，请参阅 [登录您的 AWS 访问门户](iam-id-center-sign-in-tutorial.md)。

**注意**  
 我们建议您为您组织的 AWS 访问门户的特定登录 URL 添加书签，以便日后访问。

有关 IAM Identity Center 的更多信息，请参阅[什么是 IAM Identity Center？](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)

## 联合身份
<a name="federated-identity-type"></a>

联合身份是指可以使用知名的外部身份提供者 (IdP) 登录的用户，例如 Login with Amazon、Facebook、Google 或任何其他与 [OpenID Connect (OIDC)](https://openid.net/connect/) 兼容的身份提供者。借助 Web 联合身份验证，您可以接收身份验证令牌，然后将该令牌交换为 AWS 该映射中的临时安全证书，转到有权使用您的资源的 IAM 角色 AWS 账户。 您不使用门户登录 AWS 管理控制台 或 AWS 访问门户。相反，使用的外部身份决定了您的登录方式。

有关更多信息，请参阅 [以联合身份登录](federated-identity-overview.md)。

## AWS 生成器 ID 用户
<a name="builder-id-type"></a>

作为 AWS Builder ID 用户，您专门登录要访问的 AWS 服务或工具。 AWS Builder ID 用户可以补充 AWS 账户 您已经拥有或想要创建的任何内容。 AWS Builder ID 代表您的个人身份，您可以使用它来访问 AWS 服务和工具，而无需使用 AWS 账户。您还有配置文件，您可以在其中查看和更新自己的个人信息。有关更多信息，请参阅 [使用登录 AWS 构建者 ID](sign-in-builder-id.md)。

AWS Builder ID 与你的 S AWS kill Builder 订阅是分开的，后者是一个在线学习中心，你可以向 AWS 专家学习并在线培养云技能。有关 AWS 技能生成器的更多信息，请参阅[AWS 技能生成器](https://skillbuilder.aws/)。

# 确定您的登录 URL
<a name="sign-in-urls-defined"></a>

 AWS 根据您的 AWS 用户类型 URLs ，使用以下任一方式进行访问。有关更多信息，请参阅 [确定您的用户类型](user-types-list.md)。

**Topics**
+ [AWS 账户 root 用户登录网址](#root-user-url)
+ [AWS 访问门户](#access-portal-url)
+ [IAM 用户登录 URL](#IAM-user-url)
+ [联合身份 URL](#federated-identities-url)
+ [AWS 生成器 ID 网址](#builder-id-url)

## AWS 账户 root 用户登录网址
<a name="root-user-url"></a>

root 用户 AWS 管理控制台 从 AWS 登录页面访问:. `[https://console.aws.amazon.com/](https://console.aws.amazon.com/)` 

 此登录页面还提供以 IAM 用户身份登录的选项。

## AWS 访问门户
<a name="access-portal-url"></a>

 AWS 访问门户是 IAM Identity Center 中的用户登录和访问您的账户的特定登录网址。当管理员在 IAM Identity Center 中创建用户时，管理员可以选择该用户是收到加入 IAM Identity Center 的电子邮件邀请，还是收到来自管理员或帮助台员工的包含一次性密码和 AWS 访问门户 URL 的消息。特定登录 URL 的格式类似于以下示例：

```
https://d-xxxxxxxxxx.awsapps.com/start
```

 或者 

```
https://your_subdomain.awsapps.com/start
```

特定登录 URL 不尽相同，因为管理员可以对其进行自定义。特定登录 URL 可能以字母 D 开头，后跟 10 个随机数字和字母。子域也可能用于登录 URL 中，并且可能包含公司名称，如以下示例所示：

![\[AWS 访问门户 URL 示例。\]](http://docs.aws.amazon.com/zh_cn/signin/latest/userguide/images/URL-example-aws-access-portal-AnyCompany.png)


**注意**  
 我们建议您将 AWS 访问门户的特定登录 URL 添加为书签，以便日后可以访问。

有关您的 AWS 访问门户的更多信息，请参阅[使用 AWS 访问门户](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-the-portal.html)。

## IAM 用户登录 URL
<a name="IAM-user-url"></a>

IAM 用户可以使用特定的 AWS 管理控制台 IAM 用户登录 URL 访问。IAM 用户登录 URL 结合了您的 AWS 账户 ID 或别名和 `signin.aws.amazon.com/console`

 以下示例说明 IAM 用户登录 URL 的格式：

```
https://account_alias_or_id.signin.aws.amazon.com/console/
```

如果您的账户 ID 是 111122223333，则您的登录 URL 将是：

![\[IAM 用户登录 URL 示例。\]](http://docs.aws.amazon.com/zh_cn/signin/latest/userguide/images/URL-example-IAM-user-sign-in.png)


如果您在 AWS 账户 使用 IAM 用户登录 URL 访问您的时遇到问题，请参阅[中的弹性](https://docs.aws.amazon.com/IAM/latest/UserGuide/disaster-recovery-resiliency.html)了解 AWS Identity and Access Management更多信息。

## 联合身份 URL
<a name="federated-identities-url"></a>

联合身份的登录 URL 不尽相同。外部身份或外部身份提供者 (IdP) 决定着联合身份的登录 URL。外部身份可能是 Windows Active Directory、Login with Amazon、Facebook 或 Google。有关如何以联合身份登录的更多详细信息，请联系您的管理员。

有关联合身份的更多信息，请参阅[关于网络身份联合验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html)。

## AWS 生成器 ID 网址
<a name="builder-id-url"></a>

您的 AWS Builder ID 个人资料的网址是[https://profile.aws.amazon.com/](https://profile.aws.amazon.com/)。使用您的 AWS 生成器 ID 时，登录 URL 取决于您要访问的服务。例如，要登录亚马逊 CodeCatalyst，请前往[https://codecatalyst.aws/login](https://codecatalyst.aws/login)。

# 要添加到允许列表的域
<a name="allowlist-domains"></a>

如果您使用网络内容过滤解决方案（例如下一代防火墙 (NGFW) 或安全 Web 网关 (SWG)）来过滤对特定 AWS 域或 URL 端点的访问，则必须将以下域或 URL 端点添加到您的网络内容过滤解决方案许可名单中。

## AWS 将域名登录到许可名单
<a name="allowlist-domains-sign-in"></a>

如果您或您的组织实施 IP 或域名筛选，则您可能需要将域加入允许列表才能使用 AWS 管理控制台。在您尝试访问 AWS 管理控制台的网络中必须可以访问以下域。
+ `[Region].signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`

## AWS 访问门户 要列入许可名单的域名
<a name="allowlist-domains-access-portal"></a>

如果您使用网络内容过滤解决方案（例如下一代防火墙 (NGFW) 或安全 Web 网关 (SWG)）来过滤对特定 AWS 域或 URL 端点的访问，则必须将以下域或 URL 端点添加到您的网络内容过滤解决方案许可名单中。这样做可以使您访问自己的 AWS 访问门户.
+ `[Directory ID or alias].awsapps.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com `
+ `*.sso-portal.[Region].amazonaws.com`

## AWS 构建者 ID 要列入许可名单的域名
<a name="allowlist-domains-builder-id"></a>

如果您或您的组织实施 IP 或域名筛选，则您可能需要将域加入允许列表才能创建和使用 AWS 构建者 ID。在您尝试访问 AWS 构建者 ID的网络中必须可以访问以下域。
+ `view.awsapps.com/start`
+ `*.aws.dev`
+ `*.uis.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.*.amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.*.amazonaws.com `
+ `*.sso-portal.*.amazonaws.com`
+ `*.signin.aws`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `profile.aws.amazon.com`

# AWS 账户 管理员安全最佳实践
<a name="best-practices-admin"></a>

如果您是账户管理员并创建了新的账户 AWS 账户，我们建议您采取以下步骤来帮助您的用户在登录时遵循 AWS 安全最佳实践。

1. 以根用户身份登录以[启用多重身份验证 (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa))，[并在 IAM Identity Center 中创建 AWS 管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)用户（如果您尚未这样做）。然后，[保护您的根用户凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) ，请勿将其用于日常任务。

1. 以 AWS 账户 管理员身份登录并设置以下身份：
   + 为其他[人员](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)创建[最低权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)用户。
   + [为工作负载设置临时凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-workloads-use-roles)。
   + 仅为[需要长期凭证的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)创建访问密钥。

1. 添加权限以向这些身份授予访问权限。您可以[开始使用 AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)，然后转向[最低权限权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。
   + 向 [AWS IAM 身份中心（ AWS 单点登录的继任者）用户添加权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)。
   + 向用于工作负载的[ IAM 角色添加基于身份的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
   + 对于需要长期凭证的使用案例，[向 IAM 用户添加基于身份的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
   + 有关 IAM 用户的更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。

1.  保存和共享有关 [登录 AWS 管理控制台](how-to-sign-in.md) 的信息。这些信息不尽相同，具体取决于您创建的身份类型。

1. 请及时更新根用户电子邮件地址和主要账户联系人电话号码，以确保您可以收到与账户和安全相关的重要通知。
   + [修改 AWS 账户根用户的账户名称、电子邮件地址或密码](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)。
   + [访问或更新主要账户联系人](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html)。

1. 回顾 [IAM 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)，了解其他身份和访问管理最佳实践。