AWS中IAM角色和IAM用户的区别 [英] Difference between IAM role and IAM user in AWS

问题描述

IAM角色和IAM用户之间有什么区别？IAM FAQ有一个条目解释它，但它是模糊的，不是很清楚：

IAM用户拥有永久长期凭据，用于直接与AWS服务交互。IAM角色没有任何凭据，无法直接请求AWS服务。IAM角色应由授权实体承担，例如IAM用户、应用程序或EC2等AWS服务。

我认为IAM角色用于联合登录(例如，使用带有SAML令牌的IDP)，并且他们没有您可以像普通IAM用户那样下载的永久访问密钥("IAM角色没有任何凭据"部分)。

当他们说IAM角色不能直接请求AWS服务时是什么意思？我可以登录AWS控制台(Web控制台)并创建堆栈等，因此不可能是这样。

推荐答案

为了解不同之处，我们来了解一下IAM基本知识

IAM控制：谁(身份验证)可以在您的AWS帐户中执行哪些操作(授权)。 使用IAM进行身份验证(谁)是通过用户/组和角色完成的，而授权(什么)是由策略完成的。

这里的术语

• 用户-最终用户为人着想

• 组-一组权限(策略)下的一组用户

• 角色-用于在一段时间内向特定参与者授予特定权限。这些参与者可以由AWS或某个受信任的外部系统进行身份验证。

用户和角色使用策略进行授权。请记住，除非您允许对策略执行某些操作，否则用户和角色无法执行任何操作。

回答以下问题，您将区分用户和角色：

• 可以有密码吗？是-&>用户，否--&>角色
• 可以有访问密钥吗？是-&>用户，否--&>角色
• 可以属于一个组吗？是-&>用户，否--&>角色
• 是否可以关联AWS资源(例如EC2实例)？否-用户，是-&>角色

AWS支持针对不同场景的3种角色类型

• AWS服务角色(例如：EC2、Lambda、RedShift等)
• 跨帐户访问：向来自其他AWS帐户的用户授予权限，无论您是否控制这些帐户。
• 身份提供者访问：向经过可信外部系统身份验证的用户授予权限。AWS支持两种身份联盟： -基于网络的身份，如Facebook、Goolge-IAM支持通过OpenID Connect获取 -SAML 2.0标识，如活动目录、LDAP。

要了解角色是什么，您需要阅读其使用案例，我不想重新发明轮子，因此请阅读以下AWS文档： https://aws.amazon.com/blogs/security/how-to-use-a-single-iam-user-to-easily-access-all-your-accounts-by-using-the-aws-cli/

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html

希望它能有所帮助。

这篇关于AWS中IAM角色和IAM用户的区别的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！