AWS中IAM角色和IAM用户的区别 [英] Difference between IAM role and IAM user in AWS
本文介绍了AWS中IAM角色和IAM用户的区别的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
IAM用户拥有永久长期凭据,用于直接与AWS服务交互。IAM角色没有任何凭据,无法直接请求AWS服务。IAM角色应由授权实体承担,例如IAM用户、应用程序或EC2等AWS服务。
我认为IAM角色用于联合登录(例如,使用带有SAML令牌的IDP),并且他们没有您可以像普通IAM用户那样下载的永久访问密钥("IAM角色没有任何凭据"部分)。
当他们说IAM角色不能直接请求AWS服务时是什么意思?我可以登录AWS控制台(Web控制台)并创建堆栈等,因此不可能是这样。推荐答案
为了解不同之处,我们来了解一下IAM基本知识
IAM控制:谁(身份验证)可以在您的AWS帐户中执行哪些操作(授权)。 使用IAM进行身份验证(谁)是通过用户/组和角色完成的,而授权(什么)是由策略完成的。
这里的术语
用户-最终用户为人着想
组-一组权限(策略)下的一组用户
角色-用于在一段时间内向特定参与者授予特定权限。这些参与者可以由AWS或某个受信任的外部系统进行身份验证。
回答以下问题,您将区分用户和角色:
- 可以有密码吗?是-&>用户,否--&>角色
- 可以有访问密钥吗?是-&>用户,否--&>角色
- 可以属于一个组吗?是-&>用户,否--&>角色
- 是否可以关联AWS资源(例如EC2实例)?否-用户,是-&>角色
AWS支持针对不同场景的3种角色类型
- AWS服务角色(例如:EC2、Lambda、RedShift等)
- 跨帐户访问:向来自其他AWS帐户的用户授予权限,无论您是否控制这些帐户。
- 身份提供者访问:向经过可信外部系统身份验证的用户授予权限。AWS支持两种身份联盟: -基于网络的身份,如Facebook、Goolge-IAM支持通过OpenID Connect获取 -SAML 2.0标识,如活动目录、LDAP。
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html
希望它能有所帮助。
这篇关于AWS中IAM角色和IAM用户的区别的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文