导航
角色管理
最近更新时间:2025.03.03 16:03:40首次发布时间:2021.02.23 10:42:32
角色(Role)是IAM体系里的一种虚拟身份,用于将账号内某些访问权限授予给各类身份实体,受信任的身份实体可扮演该角色来访问账号内的云资源,以下是通过角色扮演进行云资源访问的过程:
角色支持授信如下身份:
- 其他账号(Account):通过角色信任其他账号后,其他账号的身份将能扮演此角色来访问本账号的资源,多用于跨账号授权场景。
- 本账号(Account):角色可以信任本账号进行扮演,通常用于换取临时凭证进行API调用。以下是一个角色扮演请求API的流程:
注意:主账号无法直接扮演角色,需要创建IAM子用户并赋予STSAssumeRoleAccess策略来扮演角色以获取临时安全凭证进行云资源的访问。 - 云服务(Service):某些情况下,云服务依赖另一个云服务的资源权限,此时依赖账号将资源权限授予云服务进行跨服务访问。
为了方便您进行跨服务授权,您在使用一些产品时,控制台可能会弹出跨服务授权页面引导您进行授权,此时您可点击授权按钮完成授权,授权成功后,系统将在您账号下自动创建服务关联角色。 - 身份提供商(IdP):用于企业身份提供商联合SSO登录的场景,具体请参考身份提供商管理小节。
控制台上创建角色可参考如下流程:
控制台新建角色
在“角色管理”页点击新建角色按钮,选择授权的身份类型为账号或云服务,输入账号ID或选择云服务完成角色创建。
OpenAPI新建角色
参考创建角色的API文档。
角色常用场景
| 场景 | 方案 | 原理 |
|---|---|---|
| 跨服务授权 | 服务角色 | 将云资源访问权限通过信任云服务类型的角色授予给云服务进行访问。 |
| 客户端访问 | 角色扮演 | 在服务端通过长期API密钥(AK/SK)扮演信任账号的角色,换取临时安全凭证,然后下发到客户端中进行访问 |
| 在ECS中的请求API | Instance Role(信任服务为ECS的角色) | 通过角色信任ECS,以支持ECS换取账号临时安全凭证并注入云服务器的实例元数据中 |
| 在容器服务中请求API | IRSA | 通过角色信任容器服务内置的身份提供商,以支持容器服务换取账号临时安全凭证并注入到集群Pod中 |
| 单点登录 | 身份提供商SSO | 通过角色信任企业的身份提供商,从而在企业侧完成身份认证后换取账号临时安全凭证访问火山引擎 |