IAM 角色创建 - AWS Identity and Access Management

IAM 角色创建

要创建角色,可以使用 AWS Management Console、AWS CLI、Tools for Windows PowerShell 或 IAM API。

如果使用的是 AWS Management Console,则可使用向导来完成创建角色的步骤。向导的步骤可能稍有不同,具体取决于您是为 AWS 服务、 AWS 账户 还是联合用户创建角色。

IAM 用户的角色

创建此角色,以在您的 AWS 账户 内或向您拥有的其他 AWS 账户 中定义的角色委派权限。一个账户中的用户可以切换为相同或不同账户中的角色。使用角色过程中,用户只能执行角色允许的操作并且只能访问角色允许的资源;其原始用户权限处于暂停状态。用户退出角色时,恢复原始用户权限。

有关更多信息,请参阅 创建向 IAM 用户委派权限的角色

有关创建跨账户访问角色的更多信息,请参阅 使用自定义信任策略创建角色

AWS 服务的角色

创建此角色以将权限委派给可以代表您执行操作的服务。您传递给服务的服务角色必须具有 IAM 策略,该策略具有允许服务执行与该服务关联的操作的权限。每项 AWS 服务都需要不同的权限。

有关创建服务角色的更多信息,请参阅 创建向 AWS 服务委派权限的角色

有关创建服务相关角色的更多信息,请参阅 创建服务相关角色

身份联合验证的角色

创建此角色可将权限委派给已在 AWS 外部拥有身份的用户。使用身份提供商时,您不必创建自定义登录代码或管理自己的用户身份。您的外部用户通过 IdP 登录,您可以向这些外部身份授予使用您的账户中的 AWS 资源的权限。身份提供商可帮助您确保 AWS 账户的安全,因为您不必在应用程序中分配或嵌入长期安全凭证(如访问密钥)。

有关更多信息,请参阅 针对第三方身份提供商创建角色(联合身份验证)