使用自定义信任策略创建角色(控制台) - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用自定义信任策略创建角色(控制台)

您可以创建自定义信任策略来委托访问权限并允许其他人在您的 Amazon 账户中执行操作。有关更多信息,请参阅创建 IAM policy

有关如何使用角色委派权限的信息,请参阅角色术语和概念

使用自定义信任策略创建 IAM 角色(控制台)

您可以使用 Amazon Web Services Management Console 创建 IAM 用户可担任的角色。例如,假设贵组织拥有多个 Amazon 账户以便将开发环境与生产环境隔离。有关创建角色(该角色允许开发账户中的用户访问生产账户中的资源)的概述信息,请参阅 使用不同的开发和生产账户的示例方案

使用自定义信任策略创建角色(控制台)

  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在控制台的导航窗格中,选择 Roles,然后选择 Create role

  3. 选择 Custom trust policy(自定义信任策略)角色类型。

  4. Custom trust policy(自定义信任策略)部分,输入或粘贴角色的自定义信任策略。有关更多信息,请参阅创建 IAM policy

  5. 解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择 Next(下一步)。

  6. 选中您创建的自定义信任策略旁的复选框。

  7. (可选)设置权限边界。这是一项高级功能,可用于服务角色,但不可用于服务相关角色。

    打开 Permissions boundary(权限边界)部分,然后选择 Use a permissions boundary to control the maximum role permissions(使用权限边界控制最大角色权限)。IAM 包括您的账户中的 Amazon 托管策略和客户托管策略的列表。选择要用于权限边界的策略。

  8. 选择 Next (下一步)

  9. 对于 Role name (角色名称),角色名称自定义的程度由服务定义。如果服务定义角色的名称,则此选项不可编辑。在其他情况下,服务可能定义角色的前缀并允许您键入可选的后缀。某些服务允许您指定角色的整个名称。

    如果可能,输入角色名称或角色名称后缀。角色名称在您的 Amazon 账户内必须是唯一的。名称不区分大小写。例如,您无法同时创建名为 PRODROLEprodrole 的角色。由于其他 Amazon 资源可能引用该角色,角色创建完毕后无法编辑角色名称。

  10. (可选)对于 Description(描述),输入新角色的描述。

  11. Step 1: Select trusted entities(步骤 1:选择可信实体)或 Step 2: Add permissions(步骤 2:添加权限)部分中选择 Edit(编辑),以编辑角色的自定义策略和权限。

  12. (可选)通过以键值对的形式附加标签来向角色添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 标记 IAM 资源

  13. 检查角色,然后选择 Create role