本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 了解 IAM Identity Center 中的服务相关角色 [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html?icmpid=docs_iam_console#iam-term-service-linked-role)是预定义的 IAM 权限,以允许 IAM Identity Center 委派和强制执行哪些用户对您在 AWS Organizations中的组织内的特定 AWS 账户 帐户拥有单点登录访问权限。该服务通过在其组织 AWS 账户 内的每个组织中配置一个与服务相关的角色来实现此功能。然后,该服务允许其他 AWS 服务(例如 IAM Identity Center)利用这些角色来执行与服务相关的任务。有关更多信息,请参阅 [AWS Organizations 和服务相关角色](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs)。 当您启用 IAM Identity Center 时,IAM Identity Center 在 AWS Organizations中的组织内的所有帐户中创建服务相关角色。IAM Identity Center 还会在随后添加到您的组织的每个帐户中创建相同的服务相关角色。此角色允许 IAM Identity Center 代表您访问每个帐户的资源。有关更多信息,请参阅 [配置访问权限 AWS 账户](manage-your-accounts.md)。 在每个角色中创建的服务相关角色 AWS 账户 都被命名`AWSServiceRoleForSSO`。有关更多信息,请参阅 [使用 IAM Identity Center 的服务相关角色](using-service-linked-roles.md)。 **注意** 如果您登录了 AWS Organizations 管理账户,则该账户将使用您当前登录的角色而不是与服务相关的角色。这可以防止权限升级。 当 IAM Identity Center 在 AWS Organizations 管理账户中执行任何 IAM 操作时,所有操作都将使用 IAM 委托人的证书进行。这样,登录 CloudTrail 即可查看谁在管理账户中进行了所有权限更改。