AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

向第三方拥有的 AWS 账户提供访问权限

当第三方请求访问您的组织的 AWS 资源时,您可以使用角色向他们委派访问权限。例如,第三方可能某种服务来管理您的 AWS 资源。您可以通过 IAM 角色授予第三方访问您的 AWS 资源的权限,而无需共享您的 AWS 安全凭证。而第三方则可以通过担任您在您的 AWS 账户中创建的角色来访问您的 AWS 资源。

为了创建他们可以代入的角色,第三方必须为您提供以下信息:

  • 第三方的 AWS 账户 ID。为角色定义信任策略时,可将其 AWS 账户 ID 指定为委托人。

  • 与角色唯一关联的外部 ID。外部 ID 可以是您和第三方已知的任何秘密标识符。例如,您可以使用您与该第三方之间的发票 ID,但不要使用能被猜到的内容,如第三方的名称或电话号码。为角色定义信任策略时,必须指定该 ID。第三方在代入角色时必须提供该 ID。有关外部 ID 的更多信息,请参阅 如何在向第三方授予对 AWS 资源的访问权时使用外部 ID

  • 第三方为使用您的 AWS 资源而请求获得的权限。在定义角色的权限策略时,您必须指定这些权限。这个策略定义了他们可以执行哪些操作以及可以访问哪些资源。

创建完角色后,您必须向第三方提供该角色的 Amazon 资源名称 (ARN)。他们需要使用您的角色的 ARN 来代入该角色。

有关通过创建角色向第三方委派访问权限的详细信息,请参阅如何在向第三方授予对 AWS 资源的访问权时使用外部 ID

重要

当您授予第三方访问 AWS 资源的权限时,他们可以访问您在该策略中指定的任何资源。系统会为您发送他们使用资源的记录。请确保适当限制他们对资源的使用。