IAM 角色
IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 AWS 身份,具有确定其在 AWS 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。
您可以使用角色向通常无权访问您的 AWS 资源的用户、应用程序或服务提供访问权限。例如,您可能需要向您 AWS 账户中的用户授予对其通常不拥有的资源的访问权限,或是向一个 AWS 账户 中的用户授予对其他账户中的资源的访问权限。或者,您可能需要允许移动应用程序使用 AWS 资源,但是不希望在应用程序中嵌入 AWS 密钥(因为难以更新密钥,而且用户有可能提取到密钥)。有时,您需要向已经具有在 AWS 外部(例如,在您的公司目录中)定义的身份的用户提供对 AWS 的访问权限。或者,您可能需要向第三方授予对您账户的访问权限,使他们可以对您的资源执行审核。
对于这些情况,您可以使用 IAM 角色委派对 AWS 资源的访问权限。本节介绍各种角色和它们的不同使用方式,何时及如何选择方法,如何创建、管理、切换到(或担任)和删除角色。
注意
首次创建您的 AWS 账户 时,默认情况下不会创建任何角色。当您向账户添加服务时,这些服务可能会添加服务相关角色以支持其使用案例。
服务相关角色是一种与 AWS 服务 相关的服务角色。服务可以担任代表您执行操作的角色。服务相关角色显示在您的 AWS 账户中,并由该服务拥有。IAM 管理员可以查看但不能编辑服务相关角色的权限。
您必须先删除角色的相关资源,之后才能删除服务相关角色。这可以保护您的资源,因为您不会无意中删除对资源的访问权限。
有关哪些服务支持使用服务相关角色的信息,请参阅 使用 IAM 的AWS服务 并查找其在服务相关角色列中为是的服务。选择是,可转到查看该服务的服务相关角色文档的链接。
