ภาพรวม

บทบาทใน AWS Identity และ Access Management (IAM) คือเอนทิตีที่คุณสร้างและกำหนดสิทธิ์เฉพาะเพื่ออนุญาตข้อมูลประจำตัวที่เชื่อถือได้ เช่น ข้อมูลประจำตัวของพนักงานและแอปพลิเคชันเพื่อดำเนินการใน AWS เมื่อใช้ข้อมูลประจำตัวที่เชื่อถือได้เป็นบทบาทใน IAM ข้อมูลประจำตัวจะได้รับสิทธิ์ตามขอบเขตของบทบาทใน IAM เหล่านั้นเท่านั้น การใช้บทบาทใน IAM เป็นแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัย เนื่องจากบทบาทจะให้ข้อมูลประจำตัวชั่วคราวที่ไม่จำเป็นต้องหมุนเวียน

สถานการณ์ทั่วไปที่ใช้บทบาทใน IAM

รวมข้อมูลประจำตัวพนักงานเข้าใน AWS: โดยการใช้ IAM Identity Center ผู้ใช้ของคุณสามารถใช้ข้อมูลประจำตัวองค์กรที่มีอยู่เพื่อรวมเข้าในบัญชี AWS ได้ เมื่อใช้บทบาทใน IAM คุณสามารถระบุสิทธิ์ที่ผู้ใช้ควรมีเมื่อเข้าถึงบัญชี AWS

สิทธิ์เข้าถึงเวิร์กโหลดใน AWS: เวิร์กโหลดคือคอลเลกชันของทรัพยากรและรหัส เช่น แอปพลิเคชันที่ต้องใช้ข้อมูลประจำตัวเพื่อส่งคำขอไปยังบริการของ AWS เมื่อใช้บทบาทใน IAM แอปพลิเคชันของคุณที่ทำงานในทุกสภาพแวดล้อมการประมวลผล AWS เช่น อินสแตนซ์ Amazon EC2 จะสามารถเข้าถึงทรัพยากร AWS ด้วยข้อมูลประจำตัวชั่วคราว ทำให้ไม่จำเป็นต้องจัดการข้อมูลประจำตัวระยะยาว

เข้าถึงเวิร์กโหลดที่ทำงานนอก AWS: คุณอาจมีปริมาณงานที่ทำงานอยู่นอก AWS เช่น สภาพแวดล้อมภายในองค์กร แบบไฮบริด และแบบมัลติคลาวด์ ซึ่งจำเป็นต้องเข้าถึงทรัพยากร AWS ของคุณ เมื่อใช้ IAM Roles Anywhere แอปพลิเคชันของคุณที่อยู่นอก AWS จะสามารถเข้าถึงทรัพยากรในสภาพแวดล้อม AWS ได้ชั่วคราว 

เปิดใช้งานการเข้าถึงข้ามบัญชี: เราขอแนะนำให้คุณใช้บัญชี AWS หลายบัญชี เพื่อแยกและจัดการแอปพลิเคชันและข้อมูลธุรกิจของคุณ หากต้องการอนุญาตให้ข้อมูลประจำตัวของคุณในบัญชี AWS หนึ่งเข้าถึงทรัพยากรในอีกบัญชี AWS หนึ่ง คุณสามารถใช้บทบาทใน IAM เพื่อให้สิทธิ์เข้าถึงได้

ให้สิทธิ์เข้าถึงบริการของ AWS: ต้องให้สิทธิ์อนุญาตบริการของ AWS เพื่อดำเนินการในบัญชี AWS ในนามของคุณ เมื่อคุณตั้งค่าสภาพแวดล้อมบริการของ AWS คุณจะต้องกำหนดบทบาทสำหรับบริการที่ต้องการ บริการสามารถเป็นบทบาทสำหรับบริการ และดำเนินการตามที่คุณระบุเท่านั้นได้

ดูข้อมูลเพิ่มเติมเกี่ยวกับบทบาท ได้ที่บทบาทใน IAM ในคู่มือผู้ใช้ IAM