设置 AWS 环境

登录新创建的 AWS 账户后，在页面顶部中心的搜索框中键入 IAM，然后单击 IAM。“安全警报”下会出现提示，表明要使用多重身份验证 (MFA) 保护根用户。单击启用 MFA，然后在下一个屏幕上单击激活 MFA。

您现在需要在可用的 MFA 选项之间进行选择。要查看各个选项的概览，请阅读“多重身份验证”指南。如果不确定选择哪个选项，请选择虚拟 MFA 设备并安装适用于您手机的应用程序之一。 请注意您选择的身份验证器应用程序如何处理备份和恢复，因为将来可能需要能够在其他手机上设置该应用程序。您的根用户登录现已得到保护。

不将根账户用于日常使用，而是为特定角色和职能创建单独的用户，这被认为是一种安全最佳实践。要设置此用户，您将首先创建一个 IAM 用户组 - 其将具有一组适用于属于该组中任何用户的权限。单击左侧导航栏中的用户组，然后单击创建组。输入组名，例如 “管理员”，然后向下滚动到附上权限策略。搜索“AdministratorAccess”，然后选中名为“AdministratorAccess”的策略旁边的复选框，向下滚动并单击创建组。

接下来，我们将单击左侧导航栏中的用户，然后单击添加用户，以此创建一个 IAM 用户。输入用户名后，您需要选择 AWS 访问类型。编程访问方式将创建用于 AWS CLI、CDK 和其他应用程序的访问密钥 ID 和密钥对，而 AWS 管理控制台访问可让用户登录此账户的 AWS 控制台。对于本指南，请同时选择这两个选项。

单击下一步t将用户添加到我们创建的组中，从列表中选择该用户，然后单击下一步：标签。

标签可用于跨服务搜索资源，或用于添加部门等元数据。对于我们的使用案例，请单击下一步：审查而不添加标签。您现在可以在实际创建之前查看为所创建用户设置的值。您会注意到在我们创建的“管理员”下方添加了一个名为“IAMUserChangePassword”的附加托管策略 - 此策略将添加到任何选择强制其更改密码选项的用户，因为并非所有 IAM 策略都可能具有其中所需的权限。

单击创建用户以创建用户。您现在将看到用户的确认屏幕，但请勿单击关闭按钮。自动生成的密码和用于 API 访问的秘密访问密钥只能从此屏幕访问一次。记下访问密钥 ID、秘密访问密钥和密码 - 我们将在本指南的下一个模块中使用它们。然后，单击关闭。

在注销并开始使用新的 IAM 用户之前，我们还有两个步骤需要完成。首先是为我们的账户设置一个别名，此别名应比 12 位的账户 ID 更容易记住。要设置别名，请单击左侧导航栏中的控制面板，然后单击右侧面板中“AWS 账户”部分下的创建。您现在可以为账户设置别名 - 此别名需要在所有 AWS 账户中全局唯一，因此您的第一选择可能不可用。

单击保存设置值，然后复制生成的 URL 以供以后在本指南中使用。它的格式为 https://<your-text>.signin.aws.amazon.com/console。

需要完成的最后一步是启用您可能需要使用的任何区域。这仅适用于 2019 年 3 月 20 日之后推出的区域。目前包括如下区域：

• 非洲（开普敦）
• 亚太地区（香港）
• 欧洲（米兰）
• 中东（巴林）