AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

IAM 角色

一个 IAM 角色 - 可在账户中创建的具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 AWS 身份,该身份具有确定其在 AWS 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。

您可以使用角色向通常无权访问您的 AWS 资源的用户、应用程序或服务提供访问权限。例如,您可能需要向您 AWS 账户中的用户授予对他们通常不拥有的资源的访问权限,或是向一个 AWS 账户的用户授予对另一个账户中的资源的访问权限。或者,您可能需要允许移动应用程序使用 AWS 资源,但是不希望将 AWS 密钥嵌入在应用程序中(在其中难以轮换密钥,而且用户可能提取它们)。有时,您需要向已经具有在 AWS 外部(例如,在您的公司目录中)定义的身份的用户提供对 AWS 的访问权限。或者,您可能需要向第三方授予对您账户的访问权限,使他们可以对您的资源执行审核。

对于这些情况,可使用 IAM 角色 委托对 AWS 资源的访问权限。本节介绍各种角色和它们的不同使用方式,何时及如何选择方法,如何创建、管理、切换到(或担任)和删除角色。