常見的角色方案:使用者、應用程式和服務 - AWS Identity and Access Management

常見的角色方案:使用者、應用程式和服務

與大多數 AWS 功能一樣,您通常有兩種方法可以使用角色:在 IAM 主控台中以互動方式進行,或以程式設計方式使用 AWS CLI、Tools for Windows PowerShell 或 API 進行。

  • 使用 IAM 主控台的帳戶中的 IAM 使用者可以切換到角色,以臨時使用主控台中角色的許可。使用者放棄其原始許可並取得指派給該角色的許可。當使用者退出角色時,將恢復其原始許可。

  • AWS (如 Amazon EC2) 提供的應用程式或服務可以透過請求用於向 AWS 發出程式設計請求之角色的暫時安全憑證來擔任角色。您以這種方式使用角色,這樣您就不必為需要存取資源的每個實體分享或維護長期安全憑證 (例如,透過建立 IAM 使用者)。

注意

本指南互換使用切換到角色擔任角色字詞。

使用角色的最簡單方法是授予 IAM 使用者切換到您在自己或另一個 AWS 帳戶中建立之角色的許可。他們可以使用 IAM 主控台輕鬆切換角色,以使用您通常不希望他們擁有的許可,然後退出角色以放棄這些許可。這有助於防止意外存取或修改敏感資源。

如需角色的更複雜用途,例如授予存取應用程式和服務,或聯合身分外部使用者,您可以呼叫 AssumeRole API。這個 API 呼叫會傳回一組臨時憑證,應用程式可以在後續 API 呼叫中使用這些憑證。嘗試使用臨時憑證的動作只能透過相關的角色授予許可。應用程式不需要像主控台中的使用者般「退出」角色;相反,應用程式只是停止使用臨時憑證並繼續使用原始憑證進行呼叫。

聯合身分使用者會使用來自身分提供者 (IdP) 的憑證來登入。AWS 接著會將暫時憑證提供給信任 IdP,以傳遞給使用者來包括在後續的 AWS 資源請求中。這些憑證提供授予指定角色的許可。

本節概述以下案例: