了解 Identity C IAM enter 中的服务相关角色 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 Identity C IAM enter 中的服务相关角色

服务相关角色是预定义的IAM权限,允许 Ident IAM ity Center 委派和强制执行哪些用户对组织 Amazon Web Services 账户 中的特定用户具有单点登录访问权限。 Amazon Organizations该服务通过在其组织 Amazon Web Services 账户 内的每个组织中配置一个与服务相关的角色来实现此功能。然后,该服务允许其他 Amazon 服务(例如 Ident IAM ity Center)利用这些角色来执行与服务相关的任务。有关更多信息,请参阅 Amazon Organizations 和服务相关角色

启用 IAM Identity Center 后,Ident IAM ity Center 会在组织内的所有账户中 Amazon Organizations创建一个服务相关角色。 IAMIdentity Center 还会在随后添加到您的组织的每个账户中创建相同的服务相关角色。此角色允许 Id IAM entity Center 代表您访问每个账户的资源。有关更多信息,请参阅 Amazon Web Services 账户 访问

在每个角色中创建的服务相关角色 Amazon Web Services 账户 都被命名AWSServiceRoleForSSO。有关更多信息,请参阅 为IAM身份中心使用服务相关角色

备注
  • 如果您登录了 Amazon Organizations 管理账户,则该账户将使用您当前登录的角色,而不是服务相关角色。这可以防止权限升级。

  • 当 IAM Identity Center 在 Amazon Organizations 管理账户中执行任何IAM操作时,所有操作都使用IAM委托人的凭据进行。这样,登录 CloudTrail 即可查看谁在管理账户中进行了所有权限更改。