如何将IAM角色分配给用户或组

时间:2018-01-03 21:46:21

标签: amazon-web-services amazon-ec2 roles

我知道如何在AMazon AWS IAM中创建用户,组和角色。 我也可以为每个人附加政策。 例如,在选择组后,您可以转到“权限”选项卡,并为其附加一些策略。

但是,我不知道如何将角色附加到用户或组。

我查看了文档和论坛,但没有找到任何内容,感谢您的帮助。

4 个答案:

答案 0 :(得分:3)

您无法将IAM角色分配给IAM用户或组,请参阅此aws文档中的说明: - https://aws.amazon.com/iam/faqs/

  

问:我可以在IAM组中添加IAM角色吗?

     

目前还没有。

并且

  

问:什么是IAM角色?

     

IAM角色是为其定义一组权限的IAM实体   发出AWS服务请求。 IAM角色与a无关   特定用户或组。相反,可信实体承担角色等   作为IAM用户,应用程序或AWS服务,如EC2。

看起来不是直接将IAM角色附加到IAM用户,请按照https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html的说明进行操作。

过去,我为ec2-instance创建了IAM角色,在启动该实例时,我可以选择IAM角色,我的ec2-instance将拥有该IAM角色中设置的所有权限,同样你可以为其他ec2-services分配一个角色,我认为这是IAM角色最常用的场景

答案 1 :(得分:2)

要将IAM角色分配给IAM用户,请执行以下操作:

  1. 打开IAM仪表板
  2. 选择要分配给IAM用户的角色
  3. 编辑信任策略
  4. 在“负责人”部分中添加IAM用户的ARN

就是这样。现在,使用“切换角色”功能对其进行测试。

按照相同的步骤将IAM角色分配给IAM组。

答案 2 :(得分:1)

  

IAM角色是为其定义一组权限的IAM实体   发出AWS服务请求。 IAM角色与a无关   特定用户或组。相反,可信实体承担角色等   作为IAM用户,应用程序或AWS服务,如EC2。

这里有明确记载。

https://aws.amazon.com/iam/faqs/

希望它有所帮助。

答案 3 :(得分:1)

在修改信任关系时,我会格外小心-如果它们配置不当,可能会导致您的帐户或资源遭到破坏。

在授予对同一帐户上的用户/组的显式访问权限时,您不应修改角色的信任关系。为了进一步说明: 角色应该具有这样的信任关系:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<YOUR ACC ID>:root"
      },
      "Action": "sts:AssumeRole",
    }
  ]
}

这实际上意味着我要将对该角色的权限委派给"arn:aws:iam::<YOUR ACC ID>:root"中列出的帐户-现在由该帐户的IAM操作员使用诸如此类的策略授予对该角色的访问权限一个:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "sts:AssumeRole"
      ],
      "Effect": "Allow",
      "Resource": "<role arn>"
    }
  ]
}

此策略可以附加到用户或组,并且该用户或组中的用户将能够承担具有上述信任关系的角色。

  • 可以将用户放在一个组中以获得与该组关联的权限,也可以承担一个角色以进入一个会话,而该会话的权限现在是角色的权限。用户具有访问密钥和秘密访问密钥。
  • 组仅用于向用户提供权限,即将用户置于组中。
  • 角色是一组临时权限,即用户承担角色,并在会话有效期内被授予临时凭据。角色会话将具有访问密钥,秘密访问密钥和会话令牌。