提供由第三方持有之 AWS 帳戶的存取權限 - AWS Identity and Access Management

提供由第三方持有之 AWS 帳戶的存取權限

當第三方請求存取您的組織的 AWS 資源時,您可以使用角色向他們委派存取權限。例如,第三方可能提供一種用於管理您的 AWS 資源之服務。您可以透過 IAM 角色授予第三方存取您的 AWS 資源,而不需要共用 AWS 安全憑證。反之,第三方可以藉由擔任您在 AWS 帳戶中建立的角色來存取您的 AWS 資源。若要了解在您信任區域 (受信任組織或帳戶) 外帳戶中的委託人是否具有擔任您角色的許可,請參閱什麼是 IAM Access Analyzer?

為了建立他們可以代入的角色,第三方必須為您提供以下資訊:

  • 第三方的 AWS 帳戶 ID。為角色定義信任政策時,可將其 AWS 帳戶 ID 指定為委託人。

  • 與角色唯一關聯的外部 ID。外部 ID 可以是您和第三方皆知的任何秘密識別碼。例如,您可以使用您與該第三方之間的發票 ID,但不要使用能被猜到的內容,例如第三方的電話號碼。為角色定義信任政策時,必須指定該 ID。第三方在代入角色時必須提供該 ID。如需有關外部 ID 的詳細資訊,請參閱 將 AWS 資源的存取權授予第三方時如何使用外部 ID。

  • 第三方為使用您的 AWS 資源而請求獲得的許可。定義角色的許可政策時,必須指定這些許可。這個政策定義了他們可以執行哪些操作以及可以存取哪些資源。

建立完角色後,您必須向第三方提供該角色的 Amazon 資源名稱 (ARN)。他們需要使用您的角色的 ARN 來代入該角色。

有關透過建立角色向第三方委派存取權限的詳細資訊,請參閱 將 AWS 資源的存取權授予第三方時如何使用外部 ID。

重要

當您授予第三方存取 AWS 資源的許可時,他們可以存取您在該政策中指定的任何資源。他們使用的資源費用將由您支付。請確保適當地限制他們對資源的使用。