AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

IAM 角色

IAM 角色 类似于用户,因为它是一个 AWS 实体,该实体具有确定其在 AWS 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证 (密码或访问密钥)。相反,如果用户担任某个角色,则会动态创建临时安全凭证并为用户提供该凭证。

您可以使用角色向通常无权访问您的 AWS 资源的用户、应用程序或服务提供访问权限。例如,您可能需要向您 AWS 账户中的用户授予对他们通常不拥有的资源的访问权限,或是向一个 AWS 账户的用户授予对另一个账户中的资源的访问权限。或者,您可能需要允许移动应用程序使用 AWS 资源,但是不希望将 AWS 密钥嵌入在应用程序中 (在其中难以轮换密钥,而且用户可能提取它们)。有时,您需要向已经具有在 AWS 外部 (例如,在您的公司目录中) 定义的身份的用户提供对 AWS 的访问权限。或者,您可能需要向第三方授予对您账户的访问权限,使他们可以对您的资源执行审核。

对于这些情况,可使用 IAM 角色委托对 AWS 资源的访问权限。本节介绍各种角色和它们的不同使用方式,何时及如何选择方法,如何创建、管理、切换到 (或担任) 和删除角色。