|
|
IAM 角色
IAM 角色 是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色類似於 IAM 使用者,因為同樣是 AWS 身分,也有許可政策可決定該身分在 AWS 中可執行和不可執行的操作。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。
您可以使用角色來提供通常無權存取您的 AWS 資源的使用者、應用程式或服務存取許可。例如,您可能需要向您 AWS 帳戶中的使用者授予對他們通常不擁有的資源存取許可,或是向一個 AWS 帳戶 的用戶授予對另一個帳戶中資源的存取許可。或者,您可能需要允許行動應用程式使用 AWS 資源,但是不希望將 AWS 索引鍵嵌入在應用程式中 (在其中難以輪換索引鍵,而且使用者可能會擷取它們)。有時,您需要提供已經具有在 AWS 外部 (例如,在您的企業目錄中) 定義身分的使用者對 AWS 的存取許可。或者,您可能需要向第三方授予存取您帳戶的許可,讓他們可以對您的資源執行稽核。
對於這些情況,您可以使用 IAM 角色 來指派存取權限給 AWS 資源。本節介紹各種角色和它們的不同使用方式,如何從不同方式中選出適合的時機與方法,以及如何建立、管理、切換到 (或擔任) 和刪除角色。
注意
在您第一次建立 AWS 帳戶 時,系統預設不會建立任何角色。為帳戶新增服務時,這些服務可能會新增服務連結角色,以支援其使用案例。
服務連結角色是一種連結到 AWS 服務 的服務角色類型。服務可以擔任代表您執行動作的角色。服務連結角色會顯示在您的 AWS 帳戶 中,並由該服務所擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
在您刪除服務連結角色之前,您必須先刪除這些角色的相關資源。如此可保護您 的資源,避免您不小心移除資源的存取許可。
如需哪些服務支援使用服務連結角色的資訊,請參閱 可搭配 IAM 運作的 AWS 服務 ,並尋找 Service-Linked Role (服務連結角色) 欄中顯示 Yes (是) 的服務。選擇具有連結的 Yes (是) ,以檢視該服務的服務連結角色文件。
