IAM 角色 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM 角色

IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 Amazon 身份,具有确定其在 Amazon 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。

您可以使用角色向通常无权访问您的 Amazon 资源的用户、应用程序或服务提供访问权限。例如,您可能需要向您 Amazon 账户中的用户授予对其通常不拥有的资源的访问权限,或是向一个 Amazon Web Services 账户 中的用户授予对其他账户中的资源的访问权限。或者,您可能需要允许移动应用程序使用 Amazon 资源,但是不希望在应用程序中嵌入 Amazon 密钥(因为难以更新密钥,而且用户有可能提取到密钥)。有时,您需要向已经具有在 Amazon 外部(例如,在您的公司目录中)定义的身份的用户提供对 Amazon 的访问权限。或者,您可能需要向第三方授予对您账户的访问权限,使他们可以对您的资源执行审核。

对于这些情况,您可以使用 IAM 角色委派对 Amazon 资源的访问权限。本节介绍各种角色和它们的不同使用方式,何时及如何选择方法,如何创建、管理、切换到(或担任)和删除角色。

注意

首次创建您的 Amazon Web Services 账户 时,默认情况下不会创建任何角色。当您向账户添加服务时,这些服务可能会添加服务相关角色以支持其使用案例。

服务相关角色是一种与 Amazon Web Service相关的服务角色。服务可以代入代表您执行操作的角色。服务相关角色显示在您的 Amazon Web Services 账户 中,并由该服务拥有。IAM 管理员可以查看但不能编辑服务相关角色的权限。

您必须先删除角色的相关资源,之后才能删除服务相关角色。这将保护您的 资源,因为您不会无意中删除对资源的访问权限。

有关哪些服务支持使用服务相关角色的信息,请参阅 使用 IAM 的Amazon服务 并查找其在服务相关角色列中为的服务。请选择 Yes 与查看该服务的服务相关角色文档的链接。