根据官方的AWS documentation,IAM角色也可以附加到IAM用户,而不仅仅是服务。
将IAM角色分配给IAM用户的有效用例是什么?
直接向用户授予(允许/拒绝) IAM策略不是涵盖了所有情况吗?
TBH我最初的印象是,IAM角色服务于AWS服务的授权目的(以便它们可以与其他服务进行交互),因为后者不能在用户上下文中解决。
发布于 2018-12-09 23:55:31
正如您所清楚了解的,AWS角色用于AWS服务的身份验证(使用IAM策略进行授权)。相比之下,AWS IAM用户直接映射到获得登录AWS管理控制台凭据的人类用户。
但是,在向AWS账户之外的用户授予访问权限(例如,跨账户访问、AD Authentication Federation)时,需要IAM角色来承担权限。
参考您共享的文档,获得权限的不是直接IAM用户,而是承担IAM角色(而不是直接IAM用户)以访问AWS资源的Active Directory用户(外部)。
发布于 2018-12-12 06:11:43
它是一种IAM best practice,用于从其他亚马逊网络服务账户向亚马逊网络服务用户分配角色,以便委派权限。这是为了避免在AWS账户之间共享凭证。
我还想指出,您最初将角色视为授权是不正确的。唯一被视为授权的IAM资源是IAM策略。
这可以在AWS documentation on Understanding IAM和以下亚马逊网络服务培训视频中看到:Authentication and Authorization with AWS Identity and Access Management (需要登录)
其他三个基本IAM资源:用户、组和角色被视为身份验证的一部分。
https://stackoverflow.com/questions/53692059
复制相似问题