1. дома
  2. Вопрос и ответ
  3. AWS Security Group и роль IAM

AWS Security Group и роль IAM

2017-02-03 3 views
1

Чтобы подключить мой экземпляр ec2 к S3 или RDS, мне обычно нужно предоставить экземпляр ec2 с соответствующими разрешениями, правильно?AWS Security Group и роль IAM

Если у меня есть экземпляр ec2 в одной SecurityGroup и s3/RD3 в другой группе безопасности, вы не будете просто предоставлять роль S3/RDS и разрешение на ec2?

Попытка понять, когда следует использовать группы по сравнению с группами безопасности, чтобы позволить различным ресурсам AWS разговаривать друг с другом.

источник

2017-02-03 Himalay Majumdar

ответ

3
  • Роли IAM предназначены для ограничения доступа пользователя AWS/доступа к учетной записи/роли AWS API.
  • Группы безопасности предназначены для ограничения доступа к ресурсам, которые существуют внутри вашего VPC.

Обратите внимание, что EC2 и RDS (и Redshift и Elasticache ...) являются серверами, которые существуют в вашем VPC, и вы взаимодействуете с этими ресурсами, создавая прямые сетевые подключения к этим серверам. Таким образом, вы защищаете доступ к сети с помощью групп безопасности.

Обратите внимание, что у вас нет видимости того, на каких серверах находятся ваши ресурсы S3 (или DynamoDB или SQS или SNS ...), эти ресурсы не работают внутри вашего VPC, и вы взаимодействуете с этими ресурсами исключительно через AWS API. Таким образом, вы обеспечиваете доступ AWS API к ним с помощью AWS Identity and Access Management (IAM).

источник

2017-02-03 21:50:32

2

Роли и группы безопасности служат в двух разных целях.

Роли

Роли используются, чтобы дать разрешения на экземпляр EC2 для выполнения определенных API вызовов AWS.

Он не играет роли в сетевой безопасности.

Группа безопасности

группа безопасность играет определенную роль в сетевой безопасности, и они не играют определенную роль в разрешениях EC2 для доступа к API.

вывод представляется

Использования EC2 Роли, когда вам нужно дать разрешение экземпляра для выполнения функций API, таких как доступ к S3, или контролированию экземпляра RDS (не запрашивая данные).

Используйте группы безопасности, если вам нужно предоставить разрешения экземпляра для доступа к сетевому ресурсу, например, при запросе данных в экземпляре RDS.

источник

2017-02-03 21:50:53

Смежные вопросы

 Смежные вопросы