本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # IAM 角色建立 若要建立角色,您可以使用 AWS 管理主控台、 AWS CLI、Tools for Windows PowerShell 或 IAM API。 如果您使用 AWS 管理主控台,精靈會引導您完成建立角色的步驟。精靈的步驟略有不同,具體取決於您是為 AWS 服務、為 建立角色 AWS 帳戶,還是為 SAML 或 OIDC 聯合委託人建立角色。 **IAM 使用者的角色** 建立此角色,將 或您擁有之其他 中定義的角色的許可委派 AWS 帳戶 給 AWS 帳戶 。一個帳戶中的使用者可以切換為相同或不同帳戶中的角色。使用角色過程中,使用者只能執行角色允許的操作並且只能存取角色允許的資源;其原始使用者許可處於暫停狀態。使用者退出角色時,恢復原始使用者許可。 如需詳細資訊,請參閱[建立角色以將許可授予 IAM 使用者](id_roles_create_for-user.md)。 如需有關建立跨帳戶存取權的角色的詳細資訊,請參閱[使用自訂信任政策建立角色](id_roles_create_for-custom.md)。 **AWS 服務的角色** 建立此角色,以將許可委派給可以代表您執行動作的服務。您傳遞給服務的[服務角色](id_roles.md#iam-term-service-role)必須具有 IAM 政策,其許可允許服務執行與該服務關聯的動作。每個 AWS 服務需要不同的許可。 如需有關建立服務角色的詳細資訊,請參閱[建立角色以將許可委派給 AWS 服務](id_roles_create_for-service.md)。 如需有關建立服務連結角色的詳細資訊,請參閱[建立服務連結角色](id_roles_create-service-linked-role.md)。 **聯合身分的角色** 建立此角色,以將許可委派給已在 AWS外部擁有身分的使用者。當您使用 身分提供者時,您不需要建立自訂登入代碼或管理自己的使用者身分,IdP 會為您處理這些工作。您的外部使用者透過 IdP 登入,您可以授予這些外部身分許可,以使用您帳戶中 AWS 的資源。身分提供者可協助保護 AWS 您的帳戶安全,因為您不必在應用程式中分發或嵌入長期安全登入資料,例如存取金鑰。 如需詳細資訊,請參閱[為第三方身分提供者建立角色](id_roles_create_for-idp.md)。