本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 身份和访问管理 [AWS Identity and Access Management](https://aws.amazon.com/iam)(IAM) 定义了用于管理 AWS 资源访问的控制和策略。使用 IAM,您可以创建用户和群组并定义对各种 DevOps 服务的权限。 除了用户之外,各种服务可能还需要访问 AWS 资源。例如,您的 CodeBuild 项目可能需要访问权限才能将 Docker 镜像存储在[亚马逊弹性容器注册表](https://aws.amazon.com/ecr) (Amazon ECR) 中,并且需要写入亚马逊 ECR 的权限。这些类型的权限由称为服务角色的特殊类型角色定义。 IAM 是 AWS 安全基础设施的一个组成部分。借助 IAM,您可以集中管理群组、用户、服务角色和安全证书,例如密码、访问密钥和控制用户可以访问哪些 AWS 服务和资源的权限策略。[IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)允许您定义权限集。然后,可以将此策略附加到[角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)、[用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)或[服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html),以定义其权限。 您还可以使用 IAM 创建在所需 DevOps策略中广泛使用的角色。在某些情况下,以编程方式[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)而不是直接获取权限是完全合理的。当服务或用户担任角色时,他们将获得临时证书,以访问他们通常无权访问的服务。