本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在使用者、應用程式或服務可以使用您建立的角色之前,您必須授與切換到該角色的許可。您可以使用連接至群組或使用者的任何政策,來授予必要的許可。本節說明如何授予使用者使用角色的許可。其中也解釋了使用者如何從 AWS Management Console、Tools for Windows PowerShell、AWS Command Line Interface(AWS CLI) 以及 AssumeRole
API 切換到角色。
重要
當您以程式設計方式而不是在 IAM 主控台中建立角色時,則除了 RoleName
之外,您還可以選擇新增高達 512 個字元的 Path
,該字元長度最多 64 個字元。但是,如果您要透過 AWS Management Console 中的 Switch Role (切換角色) 功能使用角色,則組合的 Path
和 RoleName
不能超過 64 個字元。
主題
檢視角色存取
變更角色的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 使用上次存取的資訊精簡 AWS 中的許可。
根據存取資訊產生政策
您有時可能會對 IAM 實體 (使用者或角色) 授予超出其要求的許可。為了協助您精簡所授予的許可,您可以根據實體的存取活動產生 IAM 政策。IAM Access Analyzer 會審查您的 AWS CloudTrail 日誌並產生政策範本,它包含實體在指定日期範圍內所使用的許可。您可以使用範本建立具有精細許可的受管政策,然後將其連接至 IAM 實體。如此一來,您只會授予使用者或角色與特定使用案例的 AWS 資源互動所需的許可。若要進一步了解,請參閱 IAM Access Analyzer 政策產生。