什么是角色?

• 角色是一组权限，这些权限授予对AWS中操作和资源的访问权限。这些权限将附加到角色，而不是IAM用户或组。
• IAM用户可以在同一AWS账户或其他账户中使用角色。
• IAM用户类似于IAM用户。角色也是具有权限策略的AWS身份，该权限策略确定该身份在AWS中可以做什么和不能做什么。
• 角色并非与一个人唯一关联；任何需要它的人都可以使用它。
• 角色没有长期的安全凭证，即密码或安全密钥。相反，如果用户使用角色，则会临时创建安全凭证并将其提供给用户。
• 您可以使用角色将访问权限委派给通常无权访问您的AWS资源的用户，应用程序或服务。

可以使用“ IAM角色”的情况：

• 有时您想授予用户访问您的AWS账户中的AWS资源的权限。
• 有时您想授予用户访问另一个AWS帐户中的AWS资源的权限。
• 它还允许移动应用访问AWS资源，但不希望将密钥存储在应用中。
• 它可用于授予对具有AWS外部身份的AWS资源的访问权限。
• 它还可以用于向第三方授予对AWS资源的访问权限，以便他们可以对AWS资源执行审核。

以下是与“ IAM角色”相关的重要术语：

• 委派：委派是向用户授予权限以允许访问您控制的AWS资源的过程。委托在受信任的帐户(拥有资源的帐户)和受信任的帐户(包含需要访问资源的用户的帐户)之间建立信任关系。信任帐户和受信任帐户可以分为三种类型：
  • 同一帐户
  • 同一组织控制下的两个不同帐户
  • 不同组织拥有的两个不同帐户。

为了委派访问资源的权限，将在具有两个策略的信任帐户中创建一个IAM角色。

权限策略：授予角色角色用户所需的权限以执行预期的任务。

信任策略：它指定哪些信任帐户成员可以使用该角色。

• 联合身份验证：联合身份验证是在外部服务提供商和AWS之间创建信任关系的过程。例如，Facebook允许用户使用其Facebook帐户登录不同的网站。
• 信任策略：以JSON格式编写文档，以定义允许谁使用该角色。本文档是根据IAM策略语言的规则编写的。
• 权限策略：以JSON格式编写的文档，用于定义角色可以使用的操作和资源。本文档基于IAM策略语言的规则。
• 权限边界：这是AWS的一项高级功能，您可以在其中限制角色可以拥有的最大权限。权限边界可以应用于IAM用户或IAM角色，但不能应用于与服务链接的角色。
• 委托人：委托人可以是AWS根账户用户，IAM用户或角色。可以通过以下两种方式之一授予权限：
  • 将权限策略附加到角色。
  • 支持基于资源的策略的服务，您可以在附加到资源的策略的主体中标识主体。
• 跨帐户访问：角色与基于资源的策略：它允许您将对一个帐户中资源的访问权限授予另一帐户中的受信主体，这称为跨帐户访问。某些服务允许您直接附加策略，称为基于资源的策略。支持基于资源的策略的服务是Amazon S3存储桶，Amazon SNS，Amazon SQS队列。