AWS: назначение ролей IAM пользователям IAM

Согласно официальной документации AWS, роли IAM могут также быть привязанным к пользователям IAM, а не только к службам.

Каков допустимый вариант использования для назначения роли IAM пользователю IAM?

Разве не все случаи покрываются прямым предоставлением (разрешением / отказом) политик IAM пользователям?

TBH, мое первое впечатление было то, что роли IAM служили для авторизации для сервисов AWS (чтобы они могли взаимодействовать с другими сервисами), поскольку последние не могут быть адресованы в контексте пользователя.


amazon-web-services amazon-iam aws-iam
person pkaramol    schedule 09.12.2018    source источник
comment
Также есть случай, когда вы хотите ограничить собственный доступ, чтобы не причинить вреда. Например, требовать от вас взять на себя роль перед удалением базы данных или очереди SQS.   -  person kdgregory    schedule 10.12.2018

Ответы (2)


arrow_upward
5
arrow_downward

Как вы ясно поняли, роли AWS служат для аутентификации (с политиками IAM для авторизации) для сервисов AWS. Напротив, пользователи AWS IAM напрямую сопоставляются с пользователем-человеком, который получает учетные данные для входа в Консоль управления AWS.

Однако при предоставлении доступа пользователю за пределами учетной записи AWS (например, доступ между учетными записями, федерация аутентификации AD) потребуется роль IAM для принятия разрешения.

Ссылаясь на документацию, которой вы поделились, это не прямой пользователь IAM, который получает разрешение, а пользователь Active Directory (внешний), принимающий на себя роль IAM (не прямой пользователь IAM) для получения доступа к ресурсам AWS.

person Ashan    schedule 09.12.2018
comment
Спасибо @Taterhead. Обновил ответ с правильной формулировкой. - person Ashan; 12.12.2018

arrow_upward
1
arrow_downward

Это передовой опыт IAM - назначить роли пользователям AWS из других учетных записей AWS, чтобы делегировать разрешения. Это сделано для того, чтобы избежать обмена учетными данными между учетными записями AWS.

Я также хотел отметить, что ваше первоначальное впечатление о ролях как авторизации неверно. Единственный ресурс IAM, который считается авторизацией, - это политики IAM.

Это можно увидеть в документации AWS по пониманию IAM и в следующем обучающем видео AWS: Аутентификация и авторизация с помощью AWS Identity and Access Management (требуется логин)

Три других основных ресурса IAM: пользователи, группы и роли считаются частью аутентификации.

person Taterhead    schedule 11.12.2018