Роль AWS IAM против группы

Question

Сайт службы AWS-чтения рассматривается как набор разрешений и группы в виде коллекции пользователей. Но все же они выглядят одинаково для меня. Вы применяете политики атташе к группам или ролям, а затем назначаете группы или роли пользователю. Каковы различия между ролью и группой?

Answer 1

AWS Группы - это стандартные группы, которые вы можете рассматривать как коллекцию нескольких пользователей, и пользователь может принадлежать нескольким группам.

AWS IAM Роли - все это разные виды; они работают как отдельные пользователи, за исключением того, что они работают в основном по отношению к типу олицетворения и выполняют связь с вызовами AWS API без указания учетных данных.

Учитывая, что роли IAM немного отличаются друг от друга, я подчеркиваю только это. Существует несколько типов IAM-ролей, таких как роли ECAM IAM, Lambda и т. Д. Если вы считаете, вы можете запустить экземпляр EC2 с ролью IAM EC2; следовательно, любая связанная с AWS связь не потребует никакого ключа доступа AWS или секретного ключа для аутентификации, а может напрямую обращаться к API-интерфейсам (однако длинный ответ - он использует STS и постоянно перерабатывает учетные данные за кулисами); привилегии или разрешения того, что он может сделать, определяются политиками IAM, прикрепленными к роли IAM.

Lambda IAM Роль работает точно так же, за исключением того, что только функции лямбда можно использовать лямбда-IAM роли и т.д.

Answer 2

Короткий ответ на Googlers: вы не можете назначить роль пользователя.

• группа куча пользователей с теми же политиками
• роль предустановленные политик для обслуживания (ов)

Пользователи может предполагают роли согласно AWS документации:

Assuming a Role