角色管理
最近更新时间:2023.09.15 11:33:01
首次发布时间:2021.02.23 10:42:32
角色(Role)是IAM体系里的一种身份,它的权限是由所关联的策略(Policy)定义的。角色通常被用来进行账号(Account)权限的授信,被授信的实体将拥有访问账号资源的权限。根据不同场景,被授信的实体可能有以下几种:
- 账号(Account):可以是本账号或其他账号。注意:主账号无法直接扮演角色,需要创建IAM子用户并赋予STSAssumeRoleAccess策略来扮演角色以获取临时安全凭证进行云资源的访问。
- 云服务(Service):某些情况下,云服务依赖另一个云服务的资源权限,此时依赖账号将资源权限授予云服务进行跨服务访问。
说明
为了方便您进行跨服务授权,您在使用一些产品时,控制台可能会弹出跨服务授权页面引导您进行授权,此时您可点击授权按钮完成授权,授权成功后,系统将在您账号下自动创建服务关联角色。
- 身份提供商(IdP):用于企业身份提供商联合SSO登录的场景,具体请参考身份提供商管理小节。
新建角色
在“角色管理”页点击新建角色按钮,选择授权的身份类型为账号或云服务,输入账号ID或选择云服务完成角色创建。
管理角色
可通过点击角色名或操作列中的管理,进入相应的角色管理页。在这里可以编辑角色基本信息、角色权限及角色的信任关系,其中信任关系记录了角色所信任的身份。
使用角色
通过此角色扮演接口,可获取到角色所属账号的临时安全凭证,从而以角色所属账号的身份来访问云资源。具体可参考角色扮演接口。