本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建 IAM 角色以按需修补 AMS Accelerate
<a name="acc-p-user-access"></a>

**在您的账户加入 AMS Accelerate 补丁后，AMS Accelerate 会部署托管策略，即 amspatchmanagedpolicy。**此策略包含使用 AMS 自动化文档`AWSManagedServices-PatchInstance`进行按需修补所需的权限。要使用此自动化文档，账户管理员需要为用户创建一个 IAM 角色。按照以下步骤进行操作：

**使用以下方法创建角色 AWS 管理控制台**：

1. 登录 AWS 管理控制台 并打开 [IAM 控制台](https://console.aws.amazon.com/iam/)。

1. 在控制台的导航窗格中，选择**角色**，然后选择**创建角色**。

1. 选择**其他 AWS 账户**角色类型。

1. 在**账户 ID** 中，输入您想要授予资源访问权限的 AWS 账户 ID。

   指定账户的管理员可向该账户中的任何 IAM 用户授予担任该角色的权限。为此，管理员向用户或群组附加一个策略，授予 **sts: AssumeRole** 操作的权限。该策略必须将角色的 Amazon 资源名称 (ARN) 指定为资源。请注意以下几点：
   + 如果您向来自您无法控制的账户的用户授予权限，并且这些用户将以编程方式担任此角色，请选择 “**需要外部 ID**”。外部 ID 可以是您和第三方账户管理员之间达成一致的任何字词或数字。此选项会自动向信任策略添加一个条件，即只有在请求包含正确的 **STS:** externalID 时，用户才能代入该角色。有关更多信息，请参阅在[向第三方授予对您的 AWS 资源的访问权限时如何使用外部 ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)。
   + 如果要将角色限制为使用多重身份验证 (MFA) 登录的用户，请选择**需要** MFA。这将向角色的信任策略中添加用于检查 MFA 登录的条件。需要担任角色的用户必须使用配置的 MFA 设备中的临时一次性密码进行登录。没有 MFA 身份验证的用户无法担任该角色。有关 MFA 的更多信息，请参阅中的[使用多重身份验证 (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html))。 AWS

1. 选择**下一步: 权限**。

   IAM 包含账户中的策略列表。在 “**添加权限”** 下，在筛选框中输入 **amspatchmanagedpolicy，然后选中此权限策略**的复选框。单击**下一步**。

1. 在**角色详细信息**下，输入角色名称 PatchRole，例如，添加角色描述（推荐），并添加标签以帮助您识别此角色。角色名称不区分大小写，但必须是唯一的 AWS 账户。完成后，单击 “**创建角色**”。
**注意**  
角色名称在创建后无法进行编辑。