IAM 角色可讓您將存取權委派給通常沒有組織 AWS 資源存取權的使用者或服務。IAM 使用者或 AWS 服務可擔任一個角色,以取得用來發出 AWS API 呼叫的臨時安全登入資料。因此,您不需要共享長期登入資料,或為每個需要資源存取權的實體定義許可。

Getting Started with IAM Roles for EC2 Instances

下列案例說明委派存取權可解決的一些挑戰:

  • 授與 Amazon EC2 執行個體上執行的應用程式 AWS 資源存取權

要授與 Amazon EC2 執行個體上的應用程式 AWS 資源存取權,開發人員可以將登入資料分發給每個執行個體。之後,應用程式就能使用這些登入資料來存取 Amazon S3 儲存貯體或 Amazon DynamoDB 資料等資源。不過,將長期登入資料分發給每個執行個體對管理是一大挑戰,而且也有潛在的安全風險。上方影片對如何使用角色解決這個安全問題提供更詳細的說明。

  • 跨帳戶存取
若要控制或管理資源的存取,像是將開發環境從生產環境中隔離,您可以有多個 AWS 帳戶。不過在某些情況下,一個帳戶的使用者可能需要存取其他帳戶中的資源。例如,開發環境的使用者可能需要生產環境的存取權以升級更新。因此,使用者必須有每個帳戶的登入資料,但是管理多個帳戶的多個登入資料讓身分管理更加困難。使用 IAM 角色可以簡化這個程序。若要了解如何實際操作跨帳戶存取,請參閱 Trend Micro 案例研究
  • 將許可授與 AWS 服務
您必須將許可授與 AWS 服務,才能讓這些服務代您執行動作。您可以使用 AWS IAM 角色授與 AWS 服務許可,讓這些服務代您呼叫其他 AWS 服務或在您的帳戶代您建立和管理 AWS 資源。AWS 服務 (如 Amazon Lex) 也提供預先定義且只有該特定服務才能擔任的 服務連結角色

如需如何在 IAM 管理角色的詳細資訊,請參閱使用 IAM 指南中的 Roles部分。

了解如何利用 AWS IAM 管理許可

瀏覽許可管理頁面
準備好開始建立?
開始使用 AWS IAM
還有其他問題嗎?
聯絡我們