我最近从 udemy 开始了 AWS 认证开发人员。在教程中,他们声明:“不能像策略一样将角色分配给用户或组”。但我在互联网上的搜索显示角色可以分配给 AWS 中的用户和组。
有人可以在这里解开我的困惑。
1176 次
2 回答
3
简短的回答:不!
您对这些术语的定义有些困惑:
- IAM 用户= 具有登录凭证的单一账户,例如 JohnDoe
- IAM 角色= 没有凭证的单一账户,为 AWS 资源创建以“承担”,例如 MyWebServerRole 可由运行 Web 服务的 EC2 实例使用
IAM 组= 一组 IAM 用户,例如 WebAdmins 可以对该组具有特殊权限,并且可以根据需要添加或删除 IAM 用户,如 AD 组。
IAM 策略= 资源访问规则,例如列出 EC2 实例。
策略被添加到用户、角色或组中,以赋予他们在策略中指定的权限。
如果您正在准备副考试,您还应该阅读AWS 常见问题解答和AWS 白皮书。它们是为您准备考试的一些最佳材料。
IAM 常见问题解答在回答这些问题时非常清楚:
问:什么是组? 组是 IAM 用户的集合。以简单列表的形式管理组成员身份:将用户添加到组或从组中删除。一个用户可以属于多个组。组不能属于其他组。可以使用访问控制策略向组授予权限。这使得管理一组用户的权限变得更加容易,而不必为每个单独的用户管理权限。群组没有安全凭证,无法直接访问 Web 服务;它们的存在只是为了更容易管理用户权限。有关详细信息,请参阅使用组和用户。
问:什么是 IAM 角色? IAM 角色是一个 IAM 实体,它定义了一组用于发出 AWS 服务请求的权限。IAM 角色不与特定用户或组关联。相反,受信任的实体承担角色,例如 IAM 用户、应用程序或 AWS 服务(例如 EC2)。
问:IAM 角色和 IAM 用户有什么区别? IAM 用户拥有永久长期凭证,用于直接与 AWS 服务交互。IAM 角色没有任何凭证,也无法直接向 AWS 服务发出请求。IAM 角色旨在由授权实体承担,例如 IAM 用户、应用程序或 AWS 服务(例如 EC2)。
问:权限如何工作? 访问控制策略附加到用户、组和角色,以将权限分配给 AWS 资源。默认情况下,IAM 用户、组和角色没有权限;具有足够权限的用户必须使用策略来授予所需的权限。
问:如何使用策略分配权限? 要设置权限,您可以使用 AWS 管理控制台、IAM API 或 AWS CLI 创建和附加策略。已被授予必要权限的用户可以创建策略并将其分配给 IAM 用户、组和角色。
于 2019-03-18T15:05:57.143 回答
1
角色是捆绑在一起并链接到特定实体(AWS 服务、AWS 账户或 Web 身份)的一组策略,而不是针对 IAM User 或 Group。
如果您考虑一下,IAM 用户/组是一种角色,因为它附加了一个策略列表,使用指定凭证登录的开发人员可以使用这些策略列表。
此外,如果您尝试使用 AWS 控制台,您会发现无法将角色附加到用户和组,只能附加策略。
于 2019-03-18T14:30:16.280 回答