1、进入付费主账号的AWS(AWS中国区AWS全球区)控制台，在搜索框输入【IAM】并点击进入IAM服务；

2、选择页面左侧的【用户】选项，并点击【添加用户】

3、输入用户名，访问类型选择【编程访问】，然后点击【下一步:权限】

4、选择【直接附加现有策略】，并点击【创建策略】

5、在新打开的创建策略页面中，选择【JSON】

6、策略内容请根据账号类别选择粘贴以下策略内容(billing-bucket 需要替换成实际的存储桶)，点击【创建策略】

• 中国区
• 全球区

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:CreateTags", "rds:AddTagsToResource" ], "Resource": [ "*" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket" ], "Resource": "*" }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": [ "s3:List*", "s3:Get*" ], "Resource": [ "arn:aws-cn:s3:::billing-bucket", "arn:aws-cn:s3:::billing-bucket/*" ] }, { "Sid": "VisualEditor5", "Effect": "Allow", "Action": [ "support:*" ], "Resource":"*" } ] } { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:CreateTags", "rds:AddTagsToResource" ], "Resource": [ "*" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket" ], "Resource": "*" }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": [ "s3:List*", "s3:Get*" ], "Resource": [ "arn:aws:s3:::billing-bucket", "arn:aws:s3:::billing-bucket/*" ] }, { "Sid": "VisualEditor5", "Effect": "Allow", "Action": [ "support:*" ], "Resource":"*" } ] }

7、策略名称建议输入：PolicyForGoclouds，点击【创建策略】，至此自定义策略已创建成功；

8、回到添加用户页面，点击【刷新】按钮，选择新添加的自定义策略；

9、在输入框中输入【ReadOnly】进行搜索，在查询结果中找到如下策略:【AmazonEC2ReadOnlyAccess】、【AmazonElastiCacheReadOnlyAccess 】、【AmazonKinesisReadOnlyAccess】、【AmazonRDSReadOnlyAccess】、【PolicyForGoclouds】、【CloudWatchReadOnlyAccess】、【AmazonVPCReadOnlyAccess】、【AmazonRoute53ReadOnlyAccess】、【AWSSavingsPlansReadOnlyAccess】并勾选，然后点击【下一步:标签】；

注：【AWSSavingsPlans】服务目前仅限AWS海外区，AWS中国区暂未开通。

10、在添加标签界面，直接点击【下一步：审核】

11、在审核界面，确认已选中上述策略，点击【创建用户】完成用户创建

12、拷贝生成的访问密钥