IAM角色的常見案例 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM角色的常見案例

與大多數 AWS 功能一樣,您通常有兩種使用角色的方式:在IAM主控台中以互動方式,或以程式設計方 AWS CLI式使用 Windows PowerShell 的 Tools 或API.

  • IAM您帳戶中使用IAM主控台的使用者可以切換到角色,以暫時使用主控台中角色的權限。使用者放棄其原始許可並取得指派給該角色的許可。當使用者退出角色時,將恢復其原始許可。

  • 由 AWS (例如 AmazonEC2) 提供的應用程式或服務可以扮演角色,方法是要求要向其發出程式計請求的角色的臨時安全登入資料。 AWS您可以透過這種方式使用角色,以便您不必為需要資源存取權的每個實體共用或維護長期安全性認證 (例如,透過建立使用IAM者)。

注意

本指南互換使用切換到角色擔任角色字詞。

使用角色最簡單的方法是授與使用IAM者切換至您在自己或其他角色中建立的角色的權限 AWS 帳戶。他們可以使用IAM控制台輕鬆切換角色,以使用您通常不希望他們擁有的權限,然後退出角色以退出這些權限。這有助於防止意外存取或修改敏感資源。

對於更複雜的角色使用,例如授與應用程式和服務的存取權,或同盟外部使用者,您可以呼叫. AssumeRole API 此API呼叫會傳回應用程式可在後續API呼叫中使用的一組暫時認證。嘗試使用臨時憑證的動作只能透過相關的角色授予許可。應用程式不需要像主控台中的使用者般「退出」角色;相反,應用程式只是停止使用臨時憑證並繼續使用原始憑證進行呼叫。

同盟使用者使用身分識別提供者 (IdP) 的認證登入。 AWS 然後提供臨時認證給受信任的 IdP,以傳遞給用戶以包括在後續 AWS 資源請求中。這些憑證提供授予指定角色的許可。

本節概述以下案例: