Сайт службы AWS-чтения рассматривается как набор разрешений и группы в виде коллекции пользователей. Но все же они выглядят одинаково для меня. Вы применяете политики атташе к группам или ролям, а затем назначаете группы или роли пользователю. Каковы различия между ролью и группой?Роль AWS IAM против группы
ответ
AWS Группы - это стандартные группы, которые вы можете рассматривать как коллекцию нескольких пользователей, и пользователь может принадлежать нескольким группам.
AWS IAM Роли - все это разные виды; они работают как отдельные пользователи, за исключением того, что они работают в основном по отношению к типу олицетворения и выполняют связь с вызовами AWS API без указания учетных данных.
Учитывая, что роли IAM немного отличаются друг от друга, я подчеркиваю только это. Существует несколько типов IAM-ролей, таких как роли ECAM IAM, Lambda и т. Д. Если вы считаете, вы можете запустить экземпляр EC2 с ролью IAM EC2; следовательно, любая связанная с AWS связь не потребует никакого ключа доступа AWS или секретного ключа для аутентификации, а может напрямую обращаться к API-интерфейсам (однако длинный ответ - он использует STS и постоянно перерабатывает учетные данные за кулисами); привилегии или разрешения того, что он может сделать, определяются политиками IAM, прикрепленными к роли IAM.
Lambda IAM Роль работает точно так же, за исключением того, что только функции лямбда можно использовать лямбда-IAM роли и т.д.
Короткий ответ на Googlers: вы не можете назначить роль пользователя.
- группа куча пользователей с теми же политиками
- роль предустановленные политик для обслуживания (ов)
Пользователи может предполагают роли согласно AWS документации:
- 1. AWS Security Group и роль IAM
- 2. Роль IAM в доступном экземпляре AWS EC2
- 3. Шаблоны IAM CloudFormation AWS Роли
- 4. AWS Lambda не может назвать идентификатор Cognito - роль IAM
- 5. Пользовательская роль или политика пользователя AWS IAM самостоятельно
- 6. Как добавить роль IAM в существующий экземпляр в aws?
- 7. Как использовать IAM роль с AWS Java SDK
- 8. Одна роль IAM на нескольких учетных записях AWS
- 9. Доступ к экземпляру AWS через роль IAM через Putty
- 10. Роль IAM vs User - лучшие практики
- 11. Связать несколько роли IAM с AWS :: IAM :: InstanceProfile в CloudFormation
- 12. AWS EC2 Условия IAM
- 13. AWS IAM Управление доступом
- 14. aws s3 пользователь iam против подписанных URL-адресов
- 15. AWS создать роль - запретило поле
- 16. Ограничить допущение роли AWS IAM в определенной группе
- 17. Амазонка была IAM установкой
- 18. AWS :: IAM :: Политика для любого пользователя
- 19. AWS IAM: Разрешить экземпляр EC2 останавливаться самостоятельно
- 20. Возможно ли настроить роль IAM для задачи ECS?
- 21. AWS IAM не позволяет PutObject
- 22. AWS IAM - Использование условных обозначений
- 23. Как применить роль IAM к экземпляру EC2?
- 24. Тестирование приложения локально, использующее роль IAM
- 25. Наименьшая привилегия Политика AWS IAM для cloudformation
- 26. Связать существующую роль IAM с экземпляром EC2 в CloudFormation
- 27. Создать IAM роль только с образованием облака удалось политики
- 28. AWS Код Зафиксировать Крест счета IAM Роли
- 29. Политика группы AWS IAM на ресурсе S3, влияющем на другие группы?
- 30. AWS IAM: изменить ключ доступа Идентификатор от корня до IAM
Это неверно. Экземпляр EC2 с ролью IAM по-прежнему использует ключи доступа; но они извлекаются (автоматически используя SDK или, в противном случае, вручную) из метаданных экземпляра, и они очень короткие. Подробнее на http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#instance-metadata-security-credentials – chris
спасибо Крис - я обновил ответ , Мое первоначальное намерение заключалось в том, чтобы подчеркнуть, что вам не нужно вмешиваться в ключ доступа и секрет. –