向第三方拥有的 AWS 账户 提供访问权限 - AWS Identity and Access Management

向第三方拥有的 AWS 账户 提供访问权限

当第三方请求访问您的组织的 AWS 资源时,您可以使用角色向他们委派访问权限。例如,第三方可能某种服务来管理您的 AWS 资源。您可以通过 IAM 角色授予第三方访问您的 AWS 资源的权限,而无需共享您的 AWS 安全凭证。而第三方则可以通过代入您在 AWS 账户 中创建的角色来访问您的 AWS 资源。要了解您信任区域之外的账户(受信任的企业或账户)中的主体是否有权承担您的角色,请参阅什么是 IAM Access Analyzer?

为了创建他们可以代入的角色,第三方必须为您提供以下信息:

  • 第三方的 AWS 账户 ID。为角色定义信任策略时,可将其 AWS 账户 ID 指定为主体。

  • 与角色唯一关联的外部 ID。外部 ID 可以是仅您和第三方已知的任何标识符。例如,您可以使用您与该第三方之间的发票 ID,但不要使用能被猜到的内容,如第三方的名称或电话号码。为角色定义信任策略时,必须指定该 ID。第三方在代入角色时必须提供该 ID。有关外部 ID 的更多信息,请参阅 如何在向第三方授予对 AWS 资源的访问权时使用外部 ID

  • 第三方为使用您的 AWS 资源而请求获得的权限。在定义角色的权限策略时,您必须指定这些权限。这个策略定义了他们可以执行哪些操作以及可以访问哪些资源。

创建完角色后,您必须向第三方提供该角色的 Amazon Resource Name (ARN)。他们需要使用您的角色的 ARN 来代入该角色。

重要

当您授予第三方访问 AWS 资源的权限时,他们可以访问您在该策略中指定的任何资源。系统会为您发送他们使用资源的记录。请确保适当限制他们对资源的使用。