Подтвердить что ты не робот

Роль AWS IAM против группы

Официальный сайт AWS читает роль как набор разрешений и группировать как набор пользователей. Но все равно они выглядят одинаково для меня. Вы прикрепляете политики к группам или ролям, а затем назначаете группы или роли пользователю. Какие именно различия между ролью и группой?

4b9b3361

ОТВЕТЫ

Ответ 1

Группы AWS - это стандартные группы, которые вы можете рассматривать как коллекцию нескольких пользователей, и пользователь может принадлежать нескольким группам.

AWS IAM Роли - все вместе разные виды; они работают как отдельные пользователи, за исключением того, что они работают в основном по отношению к типу олицетворения и выполняют связь с вызовами AWS API без указания учетных данных.

Учитывая, что роли IAM немного отличаются друг от друга, я подчеркиваю только это. Существует несколько типов IAM-ролей, таких как роли ECAM IAM, Lambda и т.д. Если вы считаете, вы можете запустить экземпляр EC2 с ролью IAM EC2; следовательно, любая связанная с AWS связь не потребует никакого ключа доступа AWS или секретного ключа для аутентификации, а может напрямую обращаться к API-интерфейсам (однако длинный ответ - он использует STS и постоянно перерабатывает учетные данные за кулисами); привилегии или разрешения того, что он может сделать, определяются политиками IAM, прикрепленными к роли IAM.

Lambda IAM Role работает точно так же, за исключением того, что только Lambda-функция может использовать роль Lambda IAM и т.д.

Ответ 2

Короткий ответ для гуглеров: вы не можете назначить роль пользователю.

  • группа - это группа пользователей с одинаковыми политиками.
  • роль - это пресет политик для сервисов.

Пользователи могут использовать роли в соответствии с документами AWS:

Предполагая роль

Ответ 3

Пользователи: Конечный пользователь (думают люди).

Группы: Коллекция пользователей с одним набором разрешений (разрешение как политика).

Роль: вы создаете роли и назначаете их ресурсу AWS (примером ресурса AWS может быть клиент, поставщик, подрядчик, сотрудник, экземпляр EC2, какое-то внешнее приложение вне AWS), но помните, что вы можете ' Назначить роль пользователю.

Ответ 4

Я все время смущался о различии между этими двумя функциями.

Короче,

Роль подобна тегу со всеми предустановленными политиками, которые могут быть прикреплены к пользователям/группам IAM или службам AWS. Пользователи IAM используют одну и ту же учетную запись у пользователя root (Admin), но с назначенными правами пользователя root для использования ресурсов AWS в этой учетной записи.

Поэтому пользователи IAM могут напрямую взаимодействовать с услугами AWS; в то время как роли IAM не могут направлять прямые запросы на службы AWS, они должны предполагаться авторизованными объектами, такими как пользователь IAM или экземпляр. https://aws.amazon.com/iam/faqs/

Ответ 5

За один раз можно предположить только одну роль IAM! И есть несколько ситуаций, которые подходят именно к такому виду разрешения.

Прочитайте вопрос о том, сколько IAM-ролей я могу принять?

Используемый подстилающий инструмент - это "Разрешение" в обоих случаях использования: роль "Группа" и "IAM".

Роль группы или IAMПолитикаПолитика определяет разрешенияРазрешения назначаются для группы или роли IAM.