Auto-sync: 2026-04-19 14:51

2026-04-19 14:51:38 +08:00
parent 5ee507c33a
commit fc0dde291f
103 changed files with 3687 additions and 12 deletions
--- a/wiki/concepts/IAM-角色.md
+++ b/wiki/concepts/IAM-角色.md
@@ -0,0 +1,40 @@
+---
+title: "IAM 角色"
+type: concept
+tags: [AWS, IAM, Identity]
+date: 2026-04-19
+---
+
+## Definition
+IAM 角色是 AWS IAM 中的身份，可以被其他实体 assum 以获取临时安全凭证。
+
+## Core Concept
+> "Roles don't enable actions; they tie together who can do something and what they can do."
+
+角色本身不执行操作，而是将"谁可以做什么"关联在一起。
+
+## Characteristics
+- 临时凭证（通过 AssumeRole API 获取）
+- 可被服务（AWS Service Role）或用户 assum
+- 包含信任策略和权限策略
+- 无持久化登录凭证
+
+## Use Cases
+- 授予服务访问 AWS 资源的权限（如 EC2 实例角色）
+- 授予用户跨账号访问权限
+- 联合访问映射（AD 组 → IAM 角色 → 权限）
+
+## Types
+- **服务角色**：供 AWS 服务使用
+- **跨账号角色**：跨 AWS 账号授权
+- **联合角色**：外部身份提供商映射的角色
+
+## Related Concepts
+- [[IAM-策略]]: 定义角色可执行的操作
+- [[信任策略]]: 定义谁可以 assum 角色
+- [[联合访问]]: AD 组映射到 IAM 角色的工作流
+- [[最小权限原则]]: 策略设计原则
+
+## Connections
+- [[IAM-角色]] ← contains ← [[IAM-策略]]
+- [[IAM-角色]] ← defined_by ← [[信任策略]]