针对角色的常见情形:用户、应用程序和服务 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

针对角色的常见情形:用户、应用程序和服务

与大多数 Amazon 功能一样,您通常可按照两种方式来使用角色:在 IAM 控制台中以交互方式使用角色,或通过 Amazon CLI、Tools for Windows PowerShell 或 API 以编程方式使用角色。

  • 您账户中的使用 IAM 控制台的 IAM 用户可切换为某个角色,以临时使用该控制台中的角色的权限。该用户放弃自己的原始权限,采用分配给该角色的权限。用户退出角色时,将恢复其原始权限。

  • 应用程序或 Amazon 提供的服务(如 Amazon EC2)可以通过请求供角色用来向 Amazon 进行编程请求的临时安全凭证来代入角色。您可以按这种方式使用角色,以便不必为需要访问资源的每个实体共享或维护长期安全凭证 (例如,通过创建 IAM 用户)。

注意

本指南以可互换方式使用了切换到角色代入角色这两个短语。

最简单的角色使用方式是向 IAM 用户授予权限,以便切换为您在自己或其他 Amazon Web Services 账户 中创建的角色。他们可以使用 IAM 控制台轻松地切换角色以使用通常您不希望他们拥有的权限,然后退出角色以交出这些权限。这样有助于防止对敏感资源进行意外 访问或修改。

若要对角色进行更复杂的使用 (如向应用程序和服务或联合身份外部用户授予访问权限),可以调用 AssumeRole API。该 API 调用返回应用程序可在后续 API 调用中使用的一组临时凭证。使用临时凭证执行的操作只拥有相关联的角色所授予的权限。应用程序不必像控制台中的用户那样“退出”角色;而是应用程序直接停止使用临时凭证并使用原始凭证继续调用。

联合身份用户使用身份提供程序 (IdP) 提供的凭证登录。Amazon 随后向可信 IdP 提供临时证书以传递给用户,以便包含在后续 Amazon 资源请求中。这些证书提供向分配的角色授予的权限。

本部分提供了以下方案的概述: