IAM 角色管理

在使用者、應用程式或服務可以使用您建立的角色之前，您必須授與切換到該角色的許可。您可以使用連接到群組或使用者的任何政策來授予必要的許可。本節說明如何授予使用者使用角色的許可。它還說明使用者可以如何從 AWS Management Console、適用於 Windows 的工具 PowerShell、 AWS Command Line Interface （AWS CLI） 和 AssumeRole 切換到角色API。

重要

當您以程式設計方式而非在IAM主控台中建立角色時，除了 之外，您還可以選擇新增最多 512 個字元Path的 RoleName，長度最多為 64 個字元。不過，如果您打算在 中使用具有切換角色功能的角色 AWS Management Console，則 合併後RoleName， Path不得超過 64 個字元。

主題

• 檢視角色存取
• 根據存取資訊產生政策
• 授與使用者切換角色的權限
• 授與使用者將角色傳遞給 AWS 服務的權限
• 撤銷IAM角色暫時性安全登入
• 更新服務連結角色
• 更新角色信任原則
• 更新角色的許可
• 更新角色的設定
• 刪除角色或執行個體設定檔

檢視角色存取

變更角色的許可之前，您應該檢閱其最近的服務層級活動。這很重要，因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊，請參閱 使用 AWS 上次存取資訊縮小 中的許可範圍。

根據存取資訊產生政策

有時，您可能會將許可授予IAM實體 （使用者或角色），超出其所需範圍。為了協助您精簡您授予的許可，您可以根據實體的存取活動產生IAM政策。IAM Access Analyzer 會檢閱您的 AWS CloudTrail 日誌，並產生政策範本，其中包含實體在指定日期範圍內使用的權限。您可以使用 範本建立具有精細許可的受管政策，然後將其連接至IAM實體。如此一來，您只會授予使用者或角色所需的許可，以針對特定使用案例與 AWS 資源互動。若要進一步了解，請參閱 IAM Access Analyzer 政策世代 。