AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

针对角色的常见情形:用户、应用程序和服务

与大多数 AWS 功能一样,您通常可按照两种方式来使用角色:在 IAM 控制台中以交互方式使用角色,或通过 AWS CLI、Windows PowerShell 工具 或 API 以编程方式使用角色。

  • 您账户中的使用 IAM 控制台的 IAM 用户可切换为某个角色,以临时使用该控制台中的角色的权限。该用户放弃自己的原始权限,采用分配给该角色的权限。用户退出角色时,将恢复其原始权限。

  • 应用程序或 AWS 提供的服务 (如 Amazon EC2) 可以通过请求供角色用来向 AWS 进行编程请求的临时安全凭证来代入角色。您可以按这种方式使用角色,以便不必为需要访问资源的每个实体共享或维护长期安全凭证 (例如,通过创建 IAM 用户)。

注意

本指南以可互换方式使用了切换到角色代入角色这两个短语。

最简单的角色使用方式是向 IAM 用户授予权限以便切换为您在自己或其他 AWS 账户中创建的角色。他们可以使用 IAM 控制台轻松地切换角色以使用通常您不希望他们拥有的权限,然后退出角色以交出这些权限。这样有助于防止对敏感资源进行意外访问或修改。

若要对角色进行更复杂的使用 (如向应用程序和服务或联合身份外部用户授予访问权限),可以调用 AssumeRole API。该 API 调用返回应用程序可在后续 API 调用中使用的一组临时凭证。使用临时凭证执行的操作只拥有相关联的角色所授予的权限。应用程序不必像控制台中的用户那样“退出”角色;而是应用程序直接停止使用临时凭证并使用原始凭证继续调用。

联合身份用户使用身份提供商 (IdP) 提供的凭证登录。AWS 随后向可信 IdP 提供临时凭证以传递给用户,以便包含在后续 AWS 资源请求中。这些证书提供向分配的角色授予的权限。

本部分提供了以下方案的概述: