IAM 角色 - AWS Identity and Access Management

IAM 角色

IAM 角色是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色類似於 IAM 使用者,因為同樣是 AWS 身分,也有許可政策可決定該身分在 AWS 中可執行和不可執行的操作。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。

您可以使用角色來提供通常無權存取您的 AWS 資源的使用者、應用程式或服務存取權限。例如,您可能需要向您 AWS 帳戶中的使用者授予對他們通常不擁有的資源存取權限,或是向一個 AWS 帳戶的用戶授予對另一個帳戶中資源的存取權限。或者,您可能需要允許行動應用程式使用 AWS 資源,但是不希望將 AWS 索引鍵嵌入在應用程式中 (在其中難以輪換索引鍵,而且使用者可能會擷取它們)。有時,您需要提供已經具有在 AWS 外部 (例如,在您的企業目錄中) 定義身分的使用者對 AWS 的存取權限。或者,您可能需要向第三方授予存取您帳戶的權限,讓他們可以對您的資源執行稽核。

對於這些情況,您可以使用 IAM 角色來指派存取權限給 AWS 資源。本節介紹各種角色和它們的不同使用方式,如何從不同方式中選出適合的時機與方法,以及如何建立、管理、切換到 (或擔任) 和刪除角色。