AWS:角色还是不角色?
来自AWS博士
When to Create an IAM User (Instead of a Role)
...
You want to use the command-line interface (CLI) to work with AWS.
When to Create an IAM Role (Instead of a User)
- You're creating an application that runs on an Amazon Elastic Compute Cloud (Amazon EC2) instance and that application makes requests to AWS.
- You're creating an app that runs on a mobile phone and that makes requests to AWS.
- Users in your company are authenticated in your corporate network and want to be able to use AWS without having to sign in again—that is, you want to allow users to federate into AWS.但似乎公司在所有事情上都大量使用角色:
- 通过创建具有特定策略的角色和创建应用于组的自定义策略来为组创建角色。
- 承担使用CLI的角色。
- 切换角色以使用不同的帐户。
这是过度的还是真正的基于工作的解决方案?
回答 1
Stack Overflow用户
发布于 2019-09-25 02:13:12
这是过度的还是真正的基于工作的解决方案?
根据我自己使用AWS的经验,大量使用角色是一种基于工作的解决方案,因为在我的公司中,我们只使用角色来访问用户(是的,我们在您的AWS环境中注册了0个用户)。我将列出我们选择这种方式的原因:
- 我们正在使用AWS控制塔。
此服务使具有至少3个AWS帐户的AWS组织能够管理您的组织。这会使我们不得不为每个AWS帐户创建一个用户。同时,AWS控制塔支持单点登录。
- 我们正在使用单点登录。
此服务将多个AWS帐户与多个用户的多个角色关联起来。描述:
AWS单点登录( SSO )是一种云SSO服务,可以方便地集中管理对多个AWS帐户和业务应用程序的SSO访问。只要点击几下,您就可以启用高可用的SSO服务,而无需预先投资和运行自己的SSO基础设施的持续维护成本。使用AWS SSO,您可以轻松地集中管理AWS组织中所有帐户的SSO访问和用户权限。AWS SSO还包括内置SAML集成到许多业务应用程序,如Salesforce、Box和Office 365。此外,通过使用AWS SSO应用程序配置向导,您可以创建安全断言标记语言(SAML) 2.0集成,并将SSO访问扩展到任何启用SAML的应用程序。您的用户只需使用他们在AWS SSO中配置的凭据登录到用户门户,或者使用他们现有的公司凭据从一个地方访问他们指定的所有帐户和应用程序。
请看一下这个服务提供的一些特性。使用角色而不是用户有很多好处。在我看来,使用AWS,AWS本身可以方便地使用角色。
我发现的唯一缺点是,每次我需要使用AWS时,都需要访问AWS门户,复制凭据并粘贴到我的终端中,因为凭据在一段时间后过期。但最终,与此进程提供的安全性相比,这个缺点很小--如果我的计算机被盗,由于凭据过期,AWS CLI无法访问。
https://stackoverflow.com/questions/58087865
复制相似问题
腾讯云开发者
