本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 身分和存取權管理 [AWS Identity and Access Management](https://aws.amazon.com/iam) (IAM) 定義用於管理 AWS 資源存取的控制項和政策。您可以使用 IAM 建立使用者和群組,並定義各種 DevOps 服務的許可。 除了使用者之外,各種 服務也可能需要存取 AWS 資源。例如,您的 CodeBuild 專案可能需要存取,才能將 Docker 映像存放在 [Amazon Elastic Container Registry](https://aws.amazon.com/ecr) (Amazon ECR) 中,而且需要寫入 Amazon ECR 的許可。這些類型的許可是由稱為服務角色的特殊類型角色定義。 IAM 是 AWS 安全基礎設施的一個元件。透過 IAM,您可以集中管理群組、使用者、服務角色和安全性登入資料,例如密碼、存取金鑰和許可政策,以控制使用者可以存取的 AWS 服務和資源。[IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)可讓您定義一組許可。然後,此政策可以連接到[角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)、[使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)或服務,[https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)以定義其許可。 您也可以使用 IAM 來建立在所需 DevOps 策略中廣泛使用的角色。在某些情況下,以程式設計方式使用 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 而非直接取得許可是很合理的。當服務或使用者擔任角色時,他們會收到臨時登入資料,以存取他們通常無法存取的服務。