步骤二：创建 IAM 用户并加入用户组

1. A公司管理员在 统一身份认证 服务，左侧导航中，选择“用户”。
2. 在用户页面，单击右上角“创建用户”。
   图8 创建用户
   

3. 配置用户基本信息。在“创建用户”界面填写“用户信息”和“访问方式”。如需一次创建多个用户，可以单击“添加用户”进行批量创建，每次最多可创建10个用户。
   图9 配置用户信息
   
   

   • 用户可以使用此处设置的用户名、邮件地址或手机号任意一种方式登录华为云。
   • 当用户忘记密码时，可以通过此处绑定的邮箱或手机自行重置密码，如果用户没有绑定邮箱或手机号码，只能由管理员重置密码。

   表3 用户信息

   用户信息	说明	取值样例
   用户名	必填。IAM用户登录华为云的用户名。	James、Alice
   邮件地址	“凭证类型”选择“首次登录时设置”时必填，选择其他时选填。IAM用户绑定的邮件地址可作为IAM用户的登录凭证，也可由IAM用户自己绑定。	暂不配置
   手机号	选填。IAM用户绑定的手机号，可作为IAM用户的登录凭证，也可由IAM用户自己绑定。	暂不配置
   描述	选填。记录IAM用户相关信息。	暂不配置

   图10 配置访问方式
   

   表4 访问方式

   访问方式	说明	取值样例
   编程访问	为IAM用户启用访问密钥或密码，支持用户通过API、CLI、SDK等开发工具访问云服务。	勾选
   管理控制台访问	为IAM用户启用密码，支持用户登录管理控制台访问云服务。此时凭证类型“密码”为必选项。	勾选

   

   • 如果IAM用户仅需登录管理控制台访问云服务，建议访问方式选择管理控制台访问，凭证类型为密码。
   • 如果IAM用户仅需编程访问华为云服务，建议访问方式选择编程访问，凭证类型为访问密钥。
   • 如果IAM用户需要使用密码作为编程访问的凭证（部分API要求），建议访问方式选择编程访问，凭证类型为密码。
   • 如果IAM用户使用部分云服务时，需要在其控制台验证访问密钥（由IAM用户输入），建议访问方式选择编程访问和管理控制台访问，凭证类型为密码和访问密钥。例如IAM用户在控制台使用 云数据迁移 CDM服务创建数据迁移，需要通过访问密钥进行身份验证。

   表5 配置凭证类型和登录保护

   凭证类型与登录保护		说明	取值样例
   访问密钥		访问密钥（AK/SK，Access Key ID/Secret Access Key）包含访问密钥ID（AK）和秘密访问密钥（SK）两部分，是您在华为云的长期身份凭证，您可以通过访问密钥对华为云API的请求进行签名。 创建用户完成后即可下载本次创建的所有用户的访问密钥（AK/SK）。	不勾选
   密码	自定义	自定义用户密码，并选择用户首次登录时是否需要重置密码。 如果您是用户的使用主体，建议您选择该方式，设置自己的登录密码，且无需勾选首次登录时重置密码。	选择
   	自动生成	系统自动生成IAM用户的登录密码，创建完用户即可下载excel形式的密码文件。将密码文件提供给用户，用户使用该密码登录。 仅在创建单个用户时适用。	-
   	首次登录时设置	系统通过邮件发一次性登录链接给用户，用户登录控制台并设置密码。 如果您不是用户的使用主体，建议选择该方式，同时输入用户的邮件地址和手机，用户通过邮件中的一次性链接登录华为云，自行设置密码。该链接7天内有效。	-
   登录保护	开启登录保护	开启登录保护后，IAM用户登录时，除了在登录页面输入用户名和密码外（第一次身份验证），还需要在登录验证页面输入验证码（第二次身份验证）。 该功能是一种安全实践，您可以选择通过手机、邮件地址、虚拟MFA进行登录验证。	-
   	不开启	创建完成后，如需开启登录保护，请参见：登录保护。	选择

4. 单击“下一步”，将IAM用户James、Alice加入到上一步中创建的“网络域运维”用户组。
   

   • 如果该用户是管理员，可以将用户加入默认用户组“admin”中。
   • 一个用户可以同时加入多个用户组。

5. 单击“下一步”，IAM用户创建完成，用户列表中显示新创建的IAM用户James和Alice。如果3勾选了“凭证类型”中的“访问密钥”，可在此页面下载访问密钥。
   图11 创建成功