是否可以为所有服务授予另一个AWS用户登录管理员访问权限？

Question

对于AWS Web Services，是否可以授予logina@foo.com对loginb@foo.com中所有服务的完全访问权限？我有几个不同的人在我的团队工作，我想让他们在沙盒中做他们需要做的事情。

谢谢！

Answer 1

如果您使用something@foo.com登录您的AWS账户，则需要立即停止执行此操作，并设置IAM（身份和访问管理）帐户。

有一个最佳做法文档here - 您想查看＆＃34;管理AWS账户，IAM用户，组和角色＆＃34; - 但简而言之：

• 在root帐户上使用双因素身份验证
• 创建IAM帐户以供日常使用。如果您授予对IAM帐户的管理员访问权限，则应该使用2因素身份验证进行设置
• 启用CloudTrail。是的，每月花费几美分。但如果你需要它，你真的，真的希望你拥有它。
• 永远不要将访问密钥和密钥检查到公共存储库中。 （违反此规定的费用约为每小时5万美元。）
• 设置结算闹钟。估计您将花费一个月的时间，并设置25％，50％，75％和100％的警报。这样一来，如果出现问题（或者你不小心旋转了r3.8xlarge），你很快就会收到通知。

Answer 2

每个帐户只有一个“root”，但使用“身份和访问管理”，您可以在AWS控制台内创建和帐户用户并授予控制台登录和管理权限。

• 在服务标签下查找名为“IAM”的文章。
• 从中选择“用户”，然后按蓝色“创建新用户”按钮
• 添加用户登录名

用户创建后

• 选择用户并通过“管理密码”设置密码 - 如果没有，则无法登录
• 按下用户的“权限”标签，然后选择附加政策
• 为用户提供“管理员访问权限”政策。

然后，用户应该能够使用admin privs登录AWS控制台并根据需要使用API​​