来自AWS docs:
When to Create an IAM User (Instead of a Role)
...
You want to use the command-line interface (CLI) to work with AWS.
When to Create an IAM Role (Instead of a User)
- You're creating an application that runs on an Amazon Elastic Compute Cloud (Amazon EC2) instance and that application makes requests to AWS.
- You're creating an app that runs on a mobile phone and that makes requests to AWS.
- Users in your company are authenticated in your corporate network and want to be able to use AWS without having to sign in again—that is, you want to allow users to federate into AWS.
但是似乎公司在所有事情上都大量使用角色:
是基于工作的过度解决方案吗?
答案 0 :(得分:1)
是基于工作的过度解决方案吗?
根据我自己在AWS上的经验,大量使用角色是基于工作的真实解决方案,因为在我公司中,我们仅使用角色来授予用户访问权限(是的,我们在您的AWS环境中注册了0个用户)。我将列出我们选择这种方式的原因:
此服务使拥有至少3个AWS账户的AWS组织可以管理您的组织。我们不得不为每个AWS账户创建一个用户,这很混乱。此外,AWS Control Tower启用了AWS Single Sign-On。
此服务将多个AWS账户与具有多个用户的多个角色相关联。说明:
AWS单一登录(SSO)是一种云SSO服务,可以轻松地集中管理对多个AWS账户和业务应用程序的SSO访问。只需单击几下,您就可以启用高可用性的SSO服务,而无需运营您自己的SSO基础结构的前期投资和持续的维护成本。借助AWS SSO,您可以轻松地集中管理对AWS Organizations中所有帐户的SSO访问和用户权限。 AWS SSO还包括对许多业务应用程序(例如Salesforce,Box和Office 365)的内置SAML集成。此外,通过使用AWS SSO应用程序配置向导,您可以创建安全断言标记语言(SAML)2.0集成并扩展SSO。访问任何启用了SAML的应用程序。您的用户只需使用他们在AWS SSO中配置的凭证或使用其现有公司凭证从一个位置访问其所有分配的帐户和应用程序,即可登录到用户门户。
请检查此服务提供的一些features。使用角色而不是用户有很多好处。以我的观点,使用AWS SSO,AWS本身就促进了角色的使用。
我发现的唯一缺点是,每次需要使用AWS CLI时,都需要访问AWS SSO门户,复制凭证并粘贴到终端中,因为凭证会在一段时间后过期。但是最后,与此过程提供的安全性相比,此缺点很小-如果我的计算机被盗,则由于凭证过期而无法访问AWS CLI。