本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建新 IAM 角色
<a name="create_role"></a>

如果您需要创建用于的新 IAM 角色 Directory Service，则必须使用 IAM 控制台创建该角色。创建角色后，您必须与该角色建立信任关系，然后才能在 Directory Service 控制台中看到该角色。有关更多信息，请参阅 [编辑现有 IAM 角色的信任关系](edit_trust.md)。

**注意**  
执行此任务的用户必须有权执行以下 IAM 操作。有关更多信息，请参阅 [基于身份的策略（IAM 策略）](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased)。  
我是：PassRole
我是：GetRole
我是：CreateRole
我是：PutRolePolicy

**要在 IAM 控制台中创建新角色**

1. 在 IAM 控制台的导航窗格中，选择**角色**。有关更多信息，请参阅《IAM 用户指南**》中的[创建 IAM 角色（AWS 管理控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)。

1. 选择**创建角色**。

1. 在 **Choose the service that will use this role (选择将使用此角色的服务)** 下面，选择 **Directory Service**，然后选择 **Next (下一步)**。

1. 选中要应用于目录用户的策略（例如 **Amazon EC2 FullAccess**）旁边的复选框，然后选择 “**下一步**”。

1. 如有必要，将标签添加到该角色，然后选择 **Next (下一步)**。

1. 提供 **Role name (角色名称)** 和可选 **Description (描述)**, 然后选择 **Create role (创建角色)**。

**创建角色以启用 AWS 管理控制台 访问**

以下清单提供了创建新 IAM 角色所必须完成的任务示例，该角色将允许特定的 AWS 托管 Microsoft AD 用户访问亚马逊 EC2 控制台。

1. 使用上述过程用 IAM 控制台创建一个角色。当系统提示您输入政策时，请选择 **Amazon EC2 FullAccess**。

1. 使用 [编辑现有 IAM 角色的信任关系](edit_trust.md) 中的步骤来编辑刚刚创建的角色，然后将所需的信任关系信息添加到策略文档。要使角色在下一步中启用访问权限后立即可见， AWS 管理控制台 必须执行此步骤。

1. 按 [启用 AWS 管理控制台 使用 AWS 托管微软 AD 凭据进行访问](ms_ad_management_console_access.md) 中的步骤操作，配置 AWS 管理控制台的常规访问权限。

1. 按照 [向现有 IAM 角色分配用户或组](assign_role.md) 中的步骤操作，将需要 EC2 资源的完全访问权限的用户添加到新角色。