IAM 角色

IAM 角色是您可以在帳戶中建立的另一種 IAM 身分，具有特定的許可。IAM 角色類似於 IAM 使用者，因為它是具有權限政策的 AWS 身分，可決定身分可以執行和不能在其中執行的操作 AWS。但是，角色的目的是讓需要它的任何人可代入，而不是單獨地與某個人員關聯。此外，角色沒有與之關聯的標準長期憑證，例如密碼或存取金鑰。反之，當您擔任角色時，其會為您的角色工作階段提供臨時安全性憑證。

您可以使用角色將存取權委派給通常無法存取 AWS 資源的使用者、應用程式或服務。例如，您可能想要授與 AWS 帳戶中的使用者存取他們通常沒有的資源，或授與使用者 AWS 帳戶 存取另一個帳戶中資源的權限。或者，您可能希望允許移動應用程序使用 AWS 資源，但不想在應用程序中嵌入 AWS 密鑰（這些密鑰可能難以更新，並且用戶可以在其中提取它們）。有時候，您想要將 AWS 存取權授予已在以外定義身分的使用者 AWS，例如在您的公司目錄中定義的使用者。或者，您可能需要向第三方授予存取您帳戶的許可，讓他們可以對您的資源執行稽核。

對於這些案例，您可以使用 IAM 角色委派對 AWS 資源的存取權。本節介紹各種角色和它們的不同使用方式，如何從不同方式中選出適合的時機與方法，以及如何建立、管理、切換到 (或擔任) 和刪除角色。

注意

第一次創建時 AWS 帳戶，默認情況下不會創建任何角色。為帳戶新增服務時，這些服務可能會新增服務連結角色，以支援其使用案例。

服務連結角色是一種連結至. AWS 服務服務可以擔任代表您執行動作的角色。服務連結角色會顯示在您的中， AWS 帳戶 且屬於服務所有。IAM 管理員可以檢視，但不能編輯服務連結角色的許可。

在您刪除服務連結角色之前，您必須先刪除這些角色的相關資源。這可保護您的資源，避免您不小心移除資源的存取許可。

如需哪些服務支援使用服務連結角色的資訊，請參閱 AWS 與 IAM 搭配使用的服務，並尋找 Service-Linked Role (服務連結角色) 欄中顯示 Yes (是) 的服務。選擇具有連結的 Yes (是)，以檢視該服務的服務連結角色文件。

主題

• 角色術語和概念
• 常見的角色方案：使用者、應用程式和服務
• 使用服務連結角色
• 建立 IAM 角色
• 使用 IAM 角色
• 管理 IAM 角色