本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM 角色管理
<a name="id_roles_manage"></a>

在使用者、應用程式或服務可以使用您建立的角色之前，您必須授予切換到該角色的許可。您可以使用連接至群組或使用者的任何政策，來授予必要的許可。本節說明如何授予使用者使用角色的許可。它還說明使用者如何從 AWS 管理主控台、Tools for Windows PowerShell、 AWS Command Line Interface (AWS CLI) 和 [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) API 切換到角色。

**重要**  
當您以程式設計方式而不是在 IAM 主控台中建立角色時，則除了 `RoleName` 之外，您還可以選擇新增高達 512 個字元的 `Path`，該字元長度最多 64 個字元。不過，如果您想要在 中使用具有**切換角色**功能的角色 AWS 管理主控台，則合併的 `Path`和 `RoleName`不得超過 64 個字元。

**Topics**
+ [檢視角色存取](#roles-modify_prerequisites)
+ [根據存取資訊產生政策](#roles-modify_gen-policy)
+ [向使用者授予切換角色的許可](id_roles_use_permissions-to-switch.md)
+ [授予使用者將角色傳遞至 AWS 服務的許可](id_roles_use_passrole.md)
+ [撤銷 IAM 角色臨時安全憑證](id_roles_use_revoke-sessions.md)
+ [更新服務連結角色](id_roles_update-service-linked-role.md)
+ [更新角色信任政策](id_roles_update-role-trust-policy.md)
+ [更新角色的許可](id_roles_update-role-permissions.md)
+ [更新角色的設定](id_roles_update-role-settings.md)
+ [刪除角色或執行個體設定檔](id_roles_manage_delete.md)

## 檢視角色存取
<a name="roles-modify_prerequisites"></a>

變更角色的許可之前，您應該檢閱其最近的服務層級活動。這很重要，因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊，請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。

## 根據存取資訊產生政策
<a name="roles-modify_gen-policy"></a>

您有時可能會對 IAM 實體 (使用者或角色) 授予超出其要求的許可。為了協助您精簡所授予的許可，您可以根據實體的存取活動產生 IAM 政策。IAM Access Analyzer 會檢閱您的 AWS CloudTrail 日誌，並產生政策範本，其中包含實體在指定日期範圍內已使用的許可。您可以使用範本建立具有精細許可的受管政策，然後將其連接至 IAM 實體。如此一來，您只會授予使用者或角色與特定使用案例 AWS 的資源互動所需的許可。若要進一步了解，請參閱 [IAM Access Analyzer 政策產生](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)。