本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
角色術語和概念
以下是一些基本術語,可協助您開始使用角色。
- 角色
-
您可以在帳戶中建立的 IAM 身分具有特定的許可。IAM 角色與 IAM 使用者有些相似處。角色和使用者都是具備許可政策的 AWS 身分,可決定身分在 AWS中可執行和不可執行的操作。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。
角色可由以下項目使用:
-
與角色相同 AWS 帳戶 的 IAM 使用者
-
與角色不同 AWS 帳戶 的 IAM 使用者
-
由 AWS 如 Amazon 彈性計算雲(亞馬遜 EC2)提供的 Web 服務
-
透過外部身分提供者 (IdP) 服務進行驗證的外部使用者,並且該服務與 SAML 2.0 或 OpenID Connect 或自訂建置的身分經紀人相容。
-
- AWS 服務角色
-
服務角色是服務擔任的 IAM 角色,可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《IAM 使用者指南》中的建立角色以委派許可給 AWS 服務服務。
- AWS EC2 執行個體的服務角色
-
應用程式在 Amazon EC2 執行個體上執行的特殊類型服務角色可代為在您的帳戶中執行動作。此角色會在啟動時指派至 EC2 執行個體。在該執行個體上執行的應用程式可取得臨時安全憑證,並執行允許該角色執行的動作。如需有關使用 EC2 執行個體的服務角色的詳細資訊,請參閱 使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可。
- AWS 服務連結角色
-
服務連結角色是一種連結至. AWS 服務服務可以擔任代表您執行動作的角色。服務連結角色會顯示在您的中, AWS 帳戶 且屬於服務所有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
注意
如果當服務開始支援服務連結的角色時您已經在使用服務,您可能會收到一封電子郵件,宣告您帳戶中的新角色。在這種情況下,服務會自動在您的帳戶中建立服務連結的角色。您不需要採取任何動作來支援此角色,而且您不應手動刪除它。如需詳細資訊,請參閱 顯示在我的 AWS 帳戶中的新角色。
如需哪些服務支援使用服務連結角色的資訊,請參閱 AWS 與 IAM 搭配使用的服務,並尋找 Service-Linked Role (服務連結角色) 欄中顯示 Yes (是) 的服務。選擇具有連結的 Yes (是),以檢視該服務的服務連結角色文件。如需詳細資訊,請參閱 使用服務連結角色。
- 角色鏈結
-
角色鏈結是指當您使用角色透過 AWS CLI 或 API 擔任第二個角色時。例如,
RoleA
擁有擔任RoleB
的許可。您可以透過在 AssumeRole API 作業中使RoleA
用其長期使用者憑證來啟用 User1 假設。這會傳回RoleA
短期憑證。透過角色鏈結,您可以使用RoleA
的短期憑證,啟用 User1 擔任RoleB
。當您擔任角色時,您可以傳遞工作階段標籤,並將標籤設為可轉移。可轉移工作階段標籤會傳遞到角色鏈中所有的後續工作階段。若要進一步了解工作階段標籤,請參閱 傳遞工作階段標籤 AWS STS。
角色鏈結可將您的 AWS CLI 或 AWS API 角色工作階段限制為最多一小時。當您使用 AssumeRoleAPI 作業來擔任角色時,您可以使用
DurationSeconds
參數指定角色工作階段的持續時間。您可以指定參數值高達 43200 秒 (12 小時),這取決於您角色的最大工作階段持續時間設定 。然而,如果在您使用角色鏈結來擔任角色時,並提供大於一小時的DurationSeconds
參數值,則操作失敗。AWS 不會將使用角色授予在 EC2 執行個體上執行的應用程式的許可作為角色鏈結。
- 委派
-
授予許可給某人,以允許存取您控制的資源。委派涉及設定兩個帳戶間的信任。第一個是擁有資源的帳戶 (信任帳戶)。第二個是包含需要存取資源使用者的帳戶 (受信任帳戶)。受信任帳戶和信任帳戶可以是以下任何一個:
-
相同帳戶。
-
都在您的組織的控制之下的個別帳戶。
-
由不同組織擁有的兩個帳戶。
若要委派許可來存取資源,您要在具有連接兩個政策的信任帳戶中建立 IAM 角色。許可政策會授予角色的使用者所需的許可,以對資源執行預定的任務。信任政策會指定允許哪些受信任帳戶成員可擔任角色。
建立信任政策時,您無法在主體元素中指定萬用字元 (*) 做為 ARN 的一部分。信任政策會連接到信任帳戶中的角色,並且是許可的二分之一。另外一半是連接到受信任帳戶中使用者的許可政策,其允許切換為該使用者或擔任該角色 。擔任角色的使用者會暫時放棄其自己的許可,改為接受該角色的許可。當使用者退出或停止使用該角色時,會恢復原有的使用者許可。其他稱為外部 ID 的參數有助於確保在不是由相同組織控制的帳戶之間安全使用角色。
-
- 聯合
-
建立外部身分識別提供者與之間的信任關係 AWS。用戶可以登錄到 OIDC 提供商,例如使用亞馬遜,臉書,谷歌或任何與 OpenID Connect(OIDC)兼容的 IdP 登錄。使用者也可以登入企業身分系統,該系統與安全性聲明標記語言 (SAML) 2.0 相容,例如 Microsoft Active Directory Federation Services。當您使用 OIDC 和 SAML 2.0 設定這些外部身分識別提供者之間的信任關係時 AWS,會將使用者指派給 IAM 角色。使用者也會收到允許使用者存取您 AWS 資源的臨時認證。
- 聯合身分使用者
-
您可以使用企業使用者目錄或 OIDC 提供者的現有身分,而不是建立 IAM 使用者。 AWS Directory Service這些稱為聯合使用者。 AWS 透過身分識別提供者要求存取時,會將角色指派給聯合身分使用者。如需有關聯合身分使用者的詳細資訊,請參閱 聯合身分使用者和角色。
- 信任政策
-
JSON 政策文件,您會在其中定義您信任擔任角色的主體。角色信任政策是在 IAM 中連接至角色的以資源為基礎的必要政策。您在信任政策中可指定的主體包含使用者、角色、帳戶和服務。
- 許可政策
- 許可界限
-
一種進階功能,可供您使用政策,限制以身分為基礎的政策可以授予角色的最大許可。您不能將許可界限用到服務連結的角色。如需詳細資訊,請參閱 IAM 實體的許可界限。
- Principal
-
中 AWS 可執行動作和存取資源的實體。主體可以是 IAM AWS 帳戶根使用者使用者或角色。您可以授予許可以兩種方法之一來存取資源:
-
您可以將許可政策連接到使用者 (直接或間接透過群組) 或角色。
-
對於那些支援資源類型政策的服務,您可以在連接到資源之政策的
Principal
元素中識別主體。
如果您引用 AWS 帳戶 作為主體,則通常指該帳戶內定義的任何本金。
注意
您不能在角色的信任政策中使用萬用字元 (*) 來比對部分主體名稱或 ARN。如需詳細資訊,請參閱 AWS 政策元素:Principal。
-
- 跨帳戶存取的角色
-
將一個帳戶中的資源存取權,授予不同帳戶中受信任主體的角色。角色是授予跨帳戶存取的主要方式。不過,一些 AWS 服務允許您直接將政策連接到資源 (而不是使用角色做為代理)。這些策略稱為以資源為基礎的策略,您可以使用它們來授與主參與者對資源的另一個 AWS 帳戶 存取權。其中一些資源包括 Amazon Simple Storage Service (S3) 儲存貯體、S3 Glacier 保存庫、Amazon Simple Notification Service (SNS) 主題以及 Amazon Simple Queue Service (SQS) 佇列。若要了解哪些服務支援以資源為基礎的政策,請參閱 AWS 與 IAM 搭配使用的服務。如需有關以資源為基礎的政策詳細資訊,請參閱 IAM 中的跨帳戶資源存取。