我最近从udemy开始了AWS认证的开发人员。在本教程中,他们声明:“角色无法分配给用户或组,例如策略可以”。但是我在互联网上的搜索显示,可以将角色分配给AWS中的用户和组。
有人可以在这里解开我的困惑。
答案 0 :(得分:1)
角色是一组绑定在一起并链接到特定实体(AWS服务,AWS账户或Web身份)的策略,不适用于IAM用户或组。
如果您考虑一下,IAM用户/组就是一种角色,因为它具有附加的策略列表,使用指定凭据登录的开发人员可以使用该策略列表。
另外,如果您尝试稍微玩一下AWS控制台,会发现您无法将角色附加到用户和组,而只能附加策略。
答案 1 :(得分:1)
简短的回答:不!
您对这些术语的定义有些困惑:
IAM组 = IAM用户的集合,例如WebAdmins可以对该组具有特殊权限,并且可以根据需要添加或删除IAM用户,例如AD组。
IAM策略 =资源访问规则,例如列出EC2实例。
策略已添加到“用户”,“角色”或“组”中,以为他们提供策略中指定的权限。
如果您正在为参加联考学习,则还应该阅读AWS FAQs和AWS White Papers。它们是准备考试的最佳材料。
在回答此类问题时,IAM FAQ很清晰:
问:什么是团体? 群组是IAM用户的集合。通过简单列表管理组成员身份: 将用户添加到组或从组中删除。 一个用户可以属于多个组。 组不能属于其他组。 可以使用访问控制策略为组授予权限。这使得管理一组用户的权限变得更加容易,而不必管理每个用户的权限。 组没有安全凭证,并且不能直接访问Web服务。它们的存在仅仅是为了更轻松地管理用户权限。有关详细信息,请参阅使用组和用户。
问:什么是IAM角色? IAM角色是一个IAM实体,它定义了一组用于发出AWS服务请求的权限。 IAM角色未与特定用户或组关联。相反,受信任的实体承担角色,例如IAM用户,应用程序或AWS服务(例如EC2)。
问:IAM角色和IAM用户之间有什么区别? IAM用户具有永久的长期凭证,用于直接与AWS服务进行交互。 IAM角色没有任何凭证,也无法直接向AWS服务发出请求。 IAM角色应由IAM用户,应用程序之类的授权实体或EC2之类的AWS服务承担。
问:权限如何工作? 访问控制策略附加到用户,组和角色,以分配对AWS资源的权限。默认情况下,IAM用户,组和角色没有权限;具有足够权限的用户必须使用策略来授予所需的权限。
问:如何使用策略分配权限? 要设置权限,您可以使用AWS管理控制台,IAM API或AWS CLI创建和附加策略。被授予必要权限的用户可以创建策略,并将其分配给IAM用户,组和角色。