Официальный сайт AWS читает роль как набор разрешений и группировать как набор пользователей. Но все равно они выглядят одинаково для меня. Вы прикрепляете политики к группам или ролям, а затем назначаете группы или роли пользователю. Какие именно различия между ролью и группой?
Роль AWS IAM против группы
Ответ 1
Группы AWS - это стандартные группы, которые вы можете рассматривать как коллекцию нескольких пользователей, и пользователь может принадлежать нескольким группам.
AWS IAM Роли - все вместе разные виды; они работают как отдельные пользователи, за исключением того, что они работают в основном по отношению к типу олицетворения и выполняют связь с вызовами AWS API без указания учетных данных.
Учитывая, что роли IAM немного отличаются друг от друга, я подчеркиваю только это. Существует несколько типов IAM-ролей, таких как роли ECAM IAM, Lambda и т.д. Если вы считаете, вы можете запустить экземпляр EC2 с ролью IAM EC2; следовательно, любая связанная с AWS связь не потребует никакого ключа доступа AWS или секретного ключа для аутентификации, а может напрямую обращаться к API-интерфейсам (однако длинный ответ - он использует STS и постоянно перерабатывает учетные данные за кулисами); привилегии или разрешения того, что он может сделать, определяются политиками IAM, прикрепленными к роли IAM.
Lambda IAM Role работает точно так же, за исключением того, что только Lambda-функция может использовать роль Lambda IAM и т.д.
Ответ 2
Короткий ответ для гуглеров: вы не можете назначить роль пользователю.
- группа - это группа пользователей с одинаковыми политиками.
- роль - это пресет политик для сервисов.
Пользователи могут использовать роли в соответствии с документами AWS:
Ответ 3
Пользователи: Конечный пользователь (думают люди).
Группы: Коллекция пользователей с одним набором разрешений (разрешение как политика).
Роль: вы создаете роли и назначаете их ресурсу AWS (примером ресурса AWS может быть клиент, поставщик, подрядчик, сотрудник, экземпляр EC2, какое-то внешнее приложение вне AWS), но помните, что вы можете ' Назначить роль пользователю.
Ответ 4
Я все время смущался о различии между этими двумя функциями.
Короче,
Роль подобна тегу со всеми предустановленными политиками, которые могут быть прикреплены к пользователям/группам IAM или службам AWS. Пользователи IAM используют одну и ту же учетную запись у пользователя root (Admin), но с назначенными правами пользователя root для использования ресурсов AWS в этой учетной записи.
Поэтому пользователи IAM могут напрямую взаимодействовать с услугами AWS; в то время как роли IAM не могут направлять прямые запросы на службы AWS, они должны предполагаться авторизованными объектами, такими как пользователь IAM или экземпляр. https://aws.amazon.com/iam/faqs/
Ответ 5
За один раз можно предположить только одну роль IAM! И есть несколько ситуаций, которые подходят именно к такому виду разрешения.
Прочитайте вопрос о том, сколько IAM-ролей я могу принять?
Используемый подстилающий инструмент - это "Разрешение" в обоих случаях использования: роль "Группа" и "IAM".
Роль группы или IAM → Политика → Политика определяет разрешения → Разрешения назначаются для группы или роли IAM.