IAM 角色可讓您將存取權委派給通常沒有組織 AWS 資源存取權的使用者或服務。IAM 使用者或 AWS 服務可擔任一個角色,以取得用來發出 AWS API 呼叫的臨時安全登入資料。因此,您不需要共享長期登入資料,或為每個需要資源存取權的實體定義許可。

XuRM4Id6uDY-Video_Thumb
3:24
Getting Started with IAM Roles for EC2 Instances

開始免費使用 AWS

建立免費帳戶
或者,請登入主控台

AWS 免費方案包括 Amazon ElastiCache 提供的 750 小時微型快取節點。

查看 AWS 免費方案詳細資訊 »

下列案例說明委派存取權可解決的一些挑戰:

  • 授與 Amazon EC2 執行個體上執行的應用程式 AWS 資源存取權
    要授與 Amazon EC2 執行個體上的應用程式 AWS 資源存取權,開發人員可以將登入資料分發給每個執行個體。之後,應用程式就能使用這些登入資料來存取 Amazon S3 儲存貯體或 Amazon DynamoDB 資料等資源。不過,將長期登入資料分發給每個執行個體對管理是一大挑戰,而且也有潛在的安全風險。上方影片對如何使用角色解決這個安全問題提供更詳細的說明。
  • 跨帳戶存取
    若要控制或管理資源的存取,像是將開發環境從生產環境中隔離,您可以有多個 AWS 帳戶。不過在某些情況下,一個帳戶的使用者可能需要存取其他帳戶中的資源。例如,開發環境的使用者可能需要生產環境的存取權以升級更新。因此,使用者必須有每個帳戶的登入資料,但是管理多個帳戶的多個登入資料讓身分管理更加困難。使用 IAM 角色可以簡化這個程序。若要了解如何實際操作跨帳戶存取,請參閱 Trend Micro 案例研究
  • 將許可授與 AWS 服務
    您必須將許可授與 AWS 服務,才能讓這些服務代您執行動作。您可以使用 AWS IAM 角色授與 AWS 服務許可,讓這些服務代您呼叫其他 AWS 服務或在您的帳戶代您建立和管理 AWS 資源。AWS 服務 (如 Amazon Lex) 也提供預先定義且只有該特定服務才能擔任的服務連結角色

如需如何在 IAM 管理角色的詳細資訊,請參閱使用 IAM 指南中的 Roles 部分。