使用自定义信任策略创建角色(控制台)
您可以创建自定义信任策略来委派访问权限并允许其他人在您的 Amazon Web Services 账户 中执行操作。有关更多信息,请参阅创建 IAM policy。
有关如何使用角色委派权限的信息,请参阅角色术语和概念。
使用自定义信任策略创建 IAM 角色(控制台)
您可以使用 Amazon Web Services Management Console 创建 IAM 用户可担任的角色。例如,假设贵组织拥有多个 Amazon Web Services 账户 以便将开发环境与生产环境隔离。有关创建角色(该角色允许开发账户中的用户访问生产账户中的资源)的概述信息,请参阅 使用不同的开发和生产账户的示例方案。
使用自定义信任策略创建角色(控制台)
登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在控制台的导航窗格中,选择 Roles,然后选择 Create role。
-
选择 Custom trust policy(自定义信任策略)角色类型。
-
在 Custom trust policy(自定义信任策略)部分,输入或粘贴角色的自定义信任策略。有关更多信息,请参阅创建 IAM policy。
-
解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择 Next(下一步)。
-
选中您创建的自定义信任策略旁的复选框。
-
(可选)设置权限边界。这是一项高级功能,可用于服务角色,但不可用于服务相关角色。
打开 Permissions boundary(权限边界)部分,然后选择 Use a permissions boundary to control the maximum role permissions(使用权限边界控制最大角色权限)。IAM 包括您的账户中的 Amazon 托管策略和客户托管策略的列表。选择要用于权限边界的策略。
-
选择 Next(下一步)。
-
对于 Role name (角色名称),角色名称自定义的程度由服务定义。如果服务定义角色的名称,则此选项不可编辑。在其他情况下,服务可能定义角色的前缀并允许您键入可选的后缀。某些服务允许您指定角色的整个名称。
如果可能,输入角色名称或角色名称后缀。角色名称在您的 Amazon Web Services 账户 内必须是唯一的。名称不区分大小写。例如,您无法同时创建名为
PRODROLE和prodrole的角色。由于其他 Amazon 资源可能引用该角色,角色创建完毕后无法编辑角色名称。 -
(可选)对于 Description(描述),输入新角色的描述。
-
在 Step 1: Select trusted entities(步骤 1:选择可信实体)或 Step 2: Add permissions(步骤 2:添加权限)部分中选择 Edit(编辑),以编辑角色的自定义策略和权限。
-
(可选)通过以键值对的形式附加标签来向角色添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 标记 IAM 资源。
-
检查角色,然后选择 Create role。