本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立 IAM 角色以隨需修補 AMS Accelerate
<a name="acc-p-user-access"></a>

在您的帳戶加入 AMS Accelerate 修補之後，AMS Accelerate 會部署受管政策 **amspatchmanagedpolicy**。此政策包含使用 AMS 自動化文件 進行隨需修補的必要許可`AWSManagedServices-PatchInstance`。若要使用此自動化文件，帳戶管理員會為使用者建立 IAM 角色。請遵循下列步驟：

**使用 建立角色 AWS 管理主控台**：

1. 登入 AWS 管理主控台 並開啟 [IAM 主控台](https://console.aws.amazon.com/iam/)。

1. 在主控台的導覽窗格中，選擇**角色**，然後**建立角色**。

1. 選擇 **Anotherrole AWS 帳戶** 類型。

1. 對於**帳戶 ID**，輸入您要授予資源存取權 AWS 的帳戶 ID。

   指定帳戶的管理員可以授予許可給該帳戶中的任何 IAM 使用者來擔任此角色。若要這樣做，管理員會將政策連接至使用者或群組，以授予**sts：AssumeRole**action 的許可。該政策必須指定角色的 Amazon Resource Name (ARN) 做為資源。請注意以下內容：
   + 如果您要從您未控制的 帳戶將許可授予使用者，而使用者將以程式設計方式擔任此角色，則 choose**Require external ID**。外部 ID 可以是您和第三方帳戶管理員之間商定的任何文字或數字。此選項會自動將條件新增至信任政策，讓使用者只有在請求包含 **correctsts：ExternalID** 時才能擔任角色。如需詳細資訊，請參閱[如何將 AWS 資源的存取權授予第三方時使用外部 ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)。
   + 如果您想要將角色限制為使用多重要素驗證 (MFA) 登入的使用者，請選擇**要求 MFA**。這會新增條件到角色的信任政策，以檢查 MFA 登入。想要擔任該角色的使用者必須從設定的 MFA 裝置使用臨時的一次性密碼登入。沒有 MFA 身分驗證的使用者無法擔任該角色。如需 MFA 的詳細資訊，請參閱[在 中使用多重要素驗證 (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。

1. 選擇**下一步：許可**。

   IAM 包含帳戶中的政策清單。在**新增許可**下，在篩選方塊中輸入 **amspatchmanagedpolicy**，然後選取此許可政策的核取方塊。按一下 **Next (下一步)**。

1. 在**角色詳細資訊**下，輸入角色名稱，例如 PatchRole，為角色新增描述 （建議），也新增標籤以協助您識別此角色。角色名稱不區分大小寫，但在 中必須是唯一的 AWS 帳戶。完成後，按一下**建立角色**。
**注意**  
角色名稱建立後就無法編輯。