IAM 角色可讓您將存取權委派給通常沒有組織 AWS 資源存取權的使用者或服務。IAM 使用者或 AWS 服務可擔任一個角色,以取得用來發出 AWS API 呼叫的臨時安全登入資料。因此,您不需要共享長期登入資料,或為每個需要資源存取權的實體定義許可。
下列案例說明委派存取權可解決的一些挑戰:
- 授與 Amazon EC2 執行個體上執行的應用程式 AWS 資源存取權
要授與 Amazon EC2 執行個體上的應用程式 AWS 資源存取權,開發人員可以將登入資料分發給每個執行個體。之後,應用程式就能使用這些登入資料來存取 Amazon S3 儲存貯體或 Amazon DynamoDB 資料等資源。不過,將長期登入資料分發給每個執行個體對管理是一大挑戰,而且也有潛在的安全風險。上方影片對如何使用角色解決這個安全問題提供更詳細的說明。
- 跨帳戶存取
若要控制或管理資源的存取,像是將開發環境從生產環境中隔離,您可以有多個 AWS 帳戶。不過在某些情況下,一個帳戶的使用者可能需要存取其他帳戶中的資源。例如,開發環境的使用者可能需要生產環境的存取權以升級更新。因此,使用者必須有每個帳戶的登入資料,但是管理多個帳戶的多個登入資料讓身分管理更加困難。使用 IAM 角色可以簡化這個程序。若要了解如何實際操作跨帳戶存取,請參閱 Trend Micro 案例研究。
- 將許可授與 AWS 服務
您必須將許可授與 AWS 服務,才能讓這些服務代您執行動作。您可以使用 AWS IAM 角色授與 AWS 服務許可,讓這些服務代您呼叫其他 AWS 服務或在您的帳戶代您建立和管理 AWS 資源。AWS 服務 (如 Amazon Lex) 也提供預先定義且只有該特定服務才能擔任的服務連結角色。