AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

向第三方拥有的 AWS 账户提供访问权限

当第三方请求访问您的组织的 AWS 资源时,您可以使用角色向他们委派访问权限。例如,第三方可能某种服务来管理您的 AWS 资源。您可以通过 IAM 角色授予第三方访问您的 AWS 资源的权限,而无需共享您的 AWS 安全凭证。而第三方则可以通过担任您在您的 AWS 账户中创建的角色来访问您的 AWS 资源。

为了创建他们可以代入的角色,第三方必须为您提供以下信息:

  • 第三方的 AWS 账户 ID。为角色定义信任策略时,可将其 AWS 账户 ID 指定为委托人。

  • 与角色唯一关联的外部 ID。外部 ID 可以是您和第三方已知的任何秘密标识符。例如,您可以使用您与该第三方之间的发票 ID,但不要使用能被猜到的内容,例如第三方的电话号码。为角色定义信任策略时,必须指定该 ID。第三方在代入角色时必须提供该 ID。有关外部 ID 的更多信息,请参阅 如何在向第三方授予对 AWS 资源的访问权时使用外部 ID

  • 第三方为使用您的 AWS 资源而请求获得的权限。在定义角色的权限策略时,您必须指定这些权限。这个策略定义了他们可以执行哪些操作以及可以访问哪些资源。

创建完角色后,您必须向第三方提供该角色的 Amazon 资源名称 (ARN)。他们需要使用您的角色的 ARN 来代入该角色。

有关通过创建角色向第三方委派访问权限的详细信息,请参阅如何在向第三方授予对 AWS 资源的访问权时使用外部 ID

重要

当您授予第三方访问 AWS 资源的权限时,他们可以访问您在该策略中指定的任何资源。系统会为您发送他们使用资源的记录。请确保适当限制他们对资源的使用。