AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

在您拥有的另一个 AWS 账户中向 IAM 用户提供访问权限

您可以向 IAM 用户授予权限,以便切换至您 AWS 账户中的角色,或切换至您拥有的其他 AWS 账户中定义的角色。

注意

如果要授予对您未拥有或无法控制的账户的访问权限,请参阅本主题后面的向第三方拥有的 AWS 账户提供访问权限

假设您拥有一个组织关键型 Amazon Elastic Compute Cloud (Amazon EC2) 实例。您可以创建具有这些权限的角色,并允许管理员在需要终止实例时切换为该角色,而不是直接向用户授予终止实例的权限。这样,可向实例添加以下几层保护:

  • 您必须向用户显式授予担任该角色的权限。

  • 用户必须使用 AWS 管理控制台主动切换为该角色。

  • 您可以向该角色添加 Multi-Factor Authentication (MFA) 保护,以便只有登录 MFA 设备的用户才能担任该角色。

我们建议使用此方法强制实施最低访问权限原则,即,仅限特定任务需要时,才能使用提升的权限。借助角色,您可以帮助防止对敏感环境进行意外更改,如果您将它们与审核合并以帮助确保仅在需要时才使用角色,这尤其适用。

在您出于此目的创建角色时,可在该角色的信任策略的 Principal 元素中按 ID 指定其用户需要访问权限的账户。随后可以向这些其他账户中的特定用户授予切换到角色的权限。

一个账户中的用户可以切换为相同或不同账户中的角色。使用角色过程中,用户只能执行角色允许的操作并且只能访问角色允许的资源;其原始用户权限处于暂停状态。用户退出角色时,恢复原始用户权限。