IAM角色管理

在使用者、應用程式或服務可以使用您建立的角色之前，您必須授與切換到該角色的許可。您可以使用任何附加至群組或使用者的原則來授與必要的權限。本節說明如何授予使用者使用角色的許可。它也會說明使用者如何從 AWS Management Console、Windows 工具 PowerShell、 AWS Command Line Interface (AWS CLI) 和 AssumeRoleAPI.

重要

當您以程式設計方式建立角色而不是在IAM主控台中建立角色時，除了可以新增最多 512 個字元的字元RoleName，長度最多可達 64 個字元。Path但是，如果您打算在中使用具有「切換角色」功能的角色 AWS Management Console，則合併Path且RoleName不能超過 64 個字元。

主題

• 檢視角色存取
• 根據存取資訊產生政策
• 授與使用者切換角色的權限
• 授與使用者將角色傳遞給 AWS 服務的權限
• 撤銷IAM角色暫時性安全登入
• 更新服務連結角色
• 更新角色信任原則
• 更新角色的權限
• 更新角色的設定
• 刪除角色或實例配置文件

檢視角色存取

變更角色的許可之前，您應該檢閱其最近的服務層級活動。這很重要，因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊，請參閱 AWS 使用上次存取的資訊精簡權限。

根據存取資訊產生政策

您有時可能會將權限授予實IAM體 (使用者或角色) 超出其所需的權限。為了協助您調整授與的權限，您可以根據實體的存取活動產生IAM原則。IAMAccess Analyzer 會檢閱您的 AWS CloudTrail 記錄檔，並產生原則範本，其中包含實體在指定日期範圍內使用的權限。您可以使用範本建立具有精細權限的受管理原則，然後將其附加至IAM實體。如此一來，您只會針對特定使用案例授與使用者或角色與 AWS 資源互動所需的權限。如需進一步了解，請參閱根據存取活動產生政策。