创建 IAM 角色

为服务创建 IAM 角色

使用 AWS 管理控制台为服务创建角色。

• 在控制台的导航窗格中，单击 角色 ，然后单击 “创建角色”。单击 创建角色 按钮后，将显示如下屏幕。

• 选择要与该角色一起使用的服务。
• 选择将权限附加到服务的托管策略。

• 在角色名称框中，输入描述服务角色的角色名称，然后单击“创建角色”。

使用 CLI（命令行界面）为服务创建角色

• 使用控制台创建角色时，许多步骤已经为您完成，但使用 CLI，您需要显式执行每个步骤。您必须创建一个策略，并将权限策略分配给该角色。
  要使用 AWS CLI 为 AWS 服务创建角色，请使用以下命令
  • 创建角色：aws iam create-role
  • 将权限策略附加到角色：aws iam put-role-policy
• 如果您将角色与 Amazon EC2 实例等实例一起使用，则需要创建一个实例配置文件来存储角色。实例配置文件是角色的容器，但实例配置文件只能包含一个角色。如果您使用 AWS 管理控制台创建角色，则已经为您创建了实例配置文件。如果您使用 CLI 创建配置文件，则必须显式指定每个步骤。
  要使用 CLI 创建实例配置文件，请使用以下命令
  • 创建实例配置文件：aws iam create-instance-profile
  • 将角色添加到实例配置文件：aws iam add-role-to-instance-profile

为 IAM 用户创建 IAM 角色

使用 AWS 管理控制台为 IAM 用户创建角色

• 在控制台的导航窗格中，单击 角色 ，然后单击 “创建角色”。单击 创建角色 按钮后，将显示如下屏幕。

• 指定要授予资源访问权限的账户 ID，然后单击 下一步：权限 按钮。
• 如果您选择了选项 “需要外部 ID”，则表示允许第三方用户访问资源。您需要输入第三方管理员提供的 外部 ID。此条件会自动添加到信任策略中，允许用户承担该角色。
• 如果您选择了选项 “需要 MFA”，则用于将角色限制为提供多重身份验证的用户。
• 选择要附加到角色的策略。策略包含权限，这些权限指定他们可以执行的操作以及他们可以访问的资源。

• 在角色名称框中，输入角色名称和角色描述。

• 单击 创建角色 以完成角色的创建。

使用 CLI（命令行界面）为 IAM 用户创建角色

使用控制台创建角色时，许多步骤已经为您完成。对于 CLI，您必须显式指定每个步骤。

要使用 CLI 创建用于跨账户访问的角色，请使用以下命令

• 创建角色：aws iam create-role
• 将权限策略附加到角色：aws iam put-role-policy

为第三方身份提供商（联合身份验证）创建 IAM 角色

身份联合允许您为可以使用第三方身份提供商登录的用户访问 AWS 资源。要配置身份联合，您必须配置身份提供商，然后创建确定联合身份用户可以拥有的权限的 IAM 角色。

• Web 身份联合： Web 身份联合提供对已使用 Facebook、Google、Amazon 或其他 Open ID 标准登录的 AWS 资源的访问权限。要配置 Web 身份联合，您必须首先创建并配置身份提供商，然后创建确定联合身份用户将拥有的权限的 IAM 角色。
• 安全断言标记语言 (SAML) 2.0 联合： 基于 SAML 的联合提供对使用 SAML 的组织中的 AWS 资源的访问权限。要配置基于 SAML 2.0 的联合，您必须首先创建并配置身份提供商，然后创建确定组织中联合身份用户将拥有的权限的 IAM 角色。

使用 AWS 管理控制台为 Web 身份创建角色

• 在 https://console.aws.amazon.com/iam/ 打开 IAM 控制台
• 在导航窗格中，单击 角色 ，然后单击 创建角色。
• 单击 创建角色 后，选择受信任实体的类型，即 Web 身份

• 指定标识您的应用程序的客户端 ID。
  • 如果要为 Amazon Cognity 创建角色，请在创建 Amazon Cognito 应用程序时，在身份池 ID 框中指定身份池的 ID。
  • 如果要为单个 Web 身份提供商创建角色，请指定在您向身份提供商注册应用程序时，该提供商提供的 ID。
• （可选）单击 添加条件 以添加在使用您的应用程序的用户可以使用该角色授予的权限之前必须满足的附加条件。
• 现在，将权限策略附加到该角色，然后单击 下一步：标签 。

• 在角色名称框中，指定角色名称和角色描述

• 单击 创建角色 以完成角色创建过程。

使用 AWS 管理控制台为基于 SAML 2.0 的联合身份验证创建角色

• 在 https://console.aws.amazon.com/iam/ 打开 IAM 控制台
• 在控制台的导航窗格中，单击 角色 ，然后单击 创建角色
• 单击“身份提供商访问的角色”。
• 选择要创建的角色类型，以授予 Web 单点登录 (SSO) 或授予 API 访问权限。
• 选择要为其创建角色的 SAML 提供商。
• 如果要创建用于 API 访问的角色，请从属性列表中选择属性。然后在值框中，输入要包含在角色中的值。它会将角色的访问权限限制为来自身份提供商的用户，这些身份提供商的 SAML 身份验证响应包括您选择的属性。
• 如果要添加更多与属性相关的条件，请单击 添加条件。
• 将权限策略附加到该角色。
• 单击 创建角色 以完成角色创建过程。

使用 AWS CLI 为联合身份用户创建角色

要使用 AWS CLI 为联合身份用户创建角色，请使用以下命令

创建角色： aws iam create-role

要将权限附加到策略： aws iam attach-role-policy 或 aws iam put-role-policy