根据正式的AWS documentation,IAM角色也可以附加附加到IAM用户,而不仅是服务。
将IAM角色分配给IAM用户的有效用例是什么?
不是所有情况都直接授予(允许/拒绝) IAM策略吗?
TBH我最初的印象是,IAM角色用于授权AWS服务(以便它们可以与其他服务交互),因为后者无法在用户上下文中解决
答案 0 :(得分:4)
您清楚地了解到,AWS Roles用于AWS服务的身份验证(使用IAM策略进行授权)。相反,AWS IAM用户直接映射到获得凭证以登录到AWS管理控制台的人类用户。
但是,在向AWS账户之外的用户授予访问权限(例如,跨账户访问,AD身份验证联合身份验证)时,它将需要IAM角色来承担权限。
请参阅您共享的文档,它不是获得许可的直接IAM用户,而是承担IAM角色的Active Directory用户(外部)(不是直接IAM用户)来访问AWS资源。
答案 1 :(得分:1)
IAM best practice是用于从其他AWS账户向AWS用户分配角色以委派权限。这是为了避免在AWS账户之间共享凭证。
我还想指出,您对角色作为授权的最初印象是不正确的。唯一被视为授权的IAM资源是IAM策略。
这可以在AWS documentation on Understanding IAM和以下AWS培训视频中看到:Authentication and Authorization with AWS Identity and Access Management(需要登录)
其他三个IAM基本资源:用户,组和角色被视为身份验证的一部分。