本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 了解 IAM Identity Center 中的服務連結角色 [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html?icmpid=docs_iam_console#iam-term-service-linked-role)是預先定義的 IAM 許可,可讓 IAM Identity Center 委派和強制執行哪些使用者具有組織中特定 AWS 帳戶 的單一登入存取權 AWS Organizations。此服務透過 AWS 帳戶 在其組織內的每個 中佈建服務連結角色來啟用此功能。然後,該服務允許 IAM Identity Center AWS 等其他服務利用這些角色來執行服務相關任務。如需詳細資訊,請參閱 [AWS Organizations 和服務連結角色](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs)。 當您啟用 IAM Identity Center 時,IAM Identity Center 會在組織中的所有帳戶中建立服務連結角色 AWS Organizations。IAM Identity Center 也會在每個帳戶中建立相同的服務連結角色,這些角色隨後會新增至您的組織。此角色允許 IAM Identity Center 代表您存取每個帳戶的資源。如需詳細資訊,請參閱[設定 的存取權 AWS 帳戶](manage-your-accounts.md)。 在每個 中建立的服務連結角色命名 AWS 帳戶 為 `AWSServiceRoleForSSO`。如需詳細資訊,請參閱[使用 IAM Identity Center 的服務連結角色](using-service-linked-roles.md)。 **備註** 如果您登入 AWS Organizations 管理帳戶,它會使用您目前登入的角色,而不是服務連結角色。這可防止權限升級。 當 IAM Identity Center 在 AWS Organizations 管理帳戶中執行任何 IAM 操作時,所有操作都會使用 IAM 主體的登入資料進行。這可讓 CloudTrail 中的日誌提供誰在管理帳戶中進行所有權限變更的可見性。