# IAM 角色创建 要创建角色,可以使用 AWS 管理控制台、AWS CLI、Tools for Windows PowerShell 或 IAM API。 如果使用的是 AWS 管理控制台,则可使用向导来完成创建角色的步骤。向导的步骤可能稍有不同,具体取决于您是为 AWS 服务、AWS 账户 还是 SAML 或 OIDC 联合主体创建角色。 **IAM 用户的角色** 创建此角色,以在您的 AWS 账户 内或向您拥有的其他 AWS 账户 中定义的角色委派权限。一个账户中的用户可以切换为相同或不同账户中的角色。使用角色过程中,用户只能执行角色允许的操作并且只能访问角色允许的资源;其原始用户权限处于暂停状态。用户退出角色时,恢复原始用户权限。 有关更多信息,请参阅 [创建角色,向 IAM 用户授予权限](id_roles_create_for-user.md)。 有关创建跨账户访问角色的更多信息,请参阅 [使用自定义信任策略创建角色](id_roles_create_for-custom.md)。 **AWS 服务的角色** 创建此角色以将权限委派给可以代表您执行操作的服务。您传递给服务的[服务角色](id_roles.md#iam-term-service-role)必须具有 IAM 策略,该策略具有允许服务执行与该服务关联的操作的权限。每项 AWS 服务都需要不同的权限。 有关创建服务角色的更多信息,请参阅 [创建向 AWS 服务委派权限的角色](id_roles_create_for-service.md)。 有关创建服务相关角色的更多信息,请参阅 [创建服务相关角色](id_roles_create-service-linked-role.md)。 **身份联合验证的角色** 创建此角色可将权限委派给已在 AWS 外部拥有身份的用户。使用身份提供商时,您不必创建自定义登录代码或管理自己的用户身份。您的外部用户通过 IdP 登录,您可以向这些外部身份授予使用您的账户中的 AWS 资源的权限。身份提供商可帮助您确保 AWS 账户的安全,因为您不必在应用程序中分配或嵌入长期安全凭证(如访问密钥)。 有关更多信息,请参阅 [为第三方身份提供者创建角色](id_roles_create_for-idp.md)。