IAM 角色管理

您必须先对用户授予切换到您创建的角色的权限，然后用户、应用程序或服务才能使用该角色。您可使用附加到组或用户的任何策略授予所需权限。本部分描述如何授予用户使用角色的权限。它还解释了用户如何从 AWS Management Console、Tools for Windows PowerShell、AWS Command Line Interface (AWS CLI) 和 AssumeRole API 切换到角色。

重要

当您以编程方式而不是在 IAM 控制台中创建角色，则除最长可达 64 个字符的 RoleName 外，您还可以选择添加最长 512 个字符的 Path。不过，如果您打算通过 AWS Management Console 中的 Switch Role（切换角色）功能使用角色，则组合的 Path 和 RoleName 不能超过 64 个字符。

主题

• 查看角色访问
• 基于访问信息生成策略
• 向用户授予切换角色的权限
• 向用户授予权限以将角色传递给 AWS 服务
• 撤销 IAM 角色临时安全凭证
• 更新服务相关角色
• 更新角色信任策略
• 更新角色的权限
• 更新角色的设置
• 删除角色或实例配置文件

查看角色访问

在更改角色的权限之前，您应查看其最近的服务级别活动。这非常重要，因为您不想删除使用它的主体（个人或应用程序）的访问权限。有关查看上次访问的信息的更多信息，请参阅使用上次访问的信息优化 AWS 中的权限。

基于访问信息生成策略

有时，您可能会向 IAM 实体（用户或角色）授予超出其需要的权限。为帮助您优化授予的权限，您可以根据实体的访问活动生成 IAM policy。IAM 访问分析器会查看您的 AWS CloudTrail 日志并生成一个策略模板，其中包含实体在指定日期范围内使用的权限。您可以使用模板创建具有精细权限的托管策略，然后将其附加到 IAM 实体。这样，您仅需授予用户或角色与特定使用案例中的 AWS 资源进行交互所需的权限。要了解更多信息，请参阅 IAM Acess Analyzer 策略生成。