向第三方拥有的 Amazon Web Services 账户 提供访问权限 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

向第三方拥有的 Amazon Web Services 账户 提供访问权限

当第三方请求访问您的组织的 Amazon 资源时,您可以使用角色向他们委派访问权限。例如,第三方可能某种服务来管理您的 Amazon 资源。您可以通过 IAM 角色授予第三方访问您的 Amazon 资源的权限,而无需共享您的 Amazon 安全凭证。而第三方则可以通过代入您在 Amazon Web Services 账户 中创建的角色来访问您的 Amazon 资源。要了解您信任区域之外的账户(受信任的企业或账户)中的主体是否有权承担您的角色,请参阅什么是 IAM Access Analyzer?

为了创建他们可以代入的角色,第三方必须为您提供以下信息:

  • 第三方的 Amazon Web Services 账户 ID。为角色定义信任策略时,可将其 Amazon Web Services 账户 ID 指定为主体。

  • 与角色唯一关联的外部 ID。外部 ID 可以是仅您和第三方已知的任何标识符。例如,您可以使用您与该第三方之间的发票 ID,但不要使用能被猜到的内容,如第三方的名称或电话号码。为角色定义信任策略时,必须指定该 ID。第三方在代入角色时必须提供该 ID。有关外部 ID 的更多信息,请参阅 如何在向第三方授予对 Amazon 资源的访问权时使用外部 ID

  • 第三方为使用您的 Amazon 资源而请求获得的权限。在定义角色的权限策略时,您必须指定这些权限。这个策略定义了他们可以执行哪些操作以及可以访问哪些资源。

创建完角色后,您必须向第三方提供该角色的 Amazon Resource Name (ARN)。他们需要使用您的角色的 ARN 来代入该角色。

重要

当您授予第三方访问 Amazon 资源的权限时,他们可以访问您在该策略中指定的任何资源。系统会为您发送他们使用资源的记录。请确保适当限制他们对资源的使用。