Auf der offiziellen AWS-Website wird die Rolle als Sammlung von Berechtigungen und die Gruppe als Sammlung von Benutzern gelesen. Trotzdem sehen sie für mich gleich aus. Sie hängen Richtlinien an Gruppen oder Rollen an und weisen einem Benutzer dann Gruppen oder Rollen zu. Was genau sind die Unterschiede zwischen Rolle und Gruppe?
Antworten:
AWS-Gruppen sind die Standardgruppen, die Sie als Sammlung mehrerer Benutzer betrachten können, und ein Benutzer kann mehreren Gruppen angehören.
AWS IAM-Rollen sind alle zusammen verschiedene Arten; Sie arbeiten wie einzelne Benutzer, mit der Ausnahme, dass sie hauptsächlich auf den Identitätswechselstil hinarbeiten und mit AWS-API-Aufrufen kommunizieren, ohne die Anmeldeinformationen anzugeben.
Da sich die IAM-Rollen kaum unterscheiden, betone ich nur das. Es gibt verschiedene Arten von IAM-Rollen wie EC2-IAM-Rollen, Lambda usw. Wenn Sie dies in Betracht ziehen, können Sie eine EC2-Instanz mit einer EC2-IAM-Rolle starten. Daher würde für jede AWS API-bezogene Kommunikation kein AWS Access Key oder Secret Key zur Authentifizierung erforderlich sein, sondern die APIs können direkt aufgerufen werden (die lange Antwort lautet jedoch: Sie verwendet STS und recycelt kontinuierlich die Anmeldeinformationen hinter den Kulissen). Die Berechtigungen oder Berechtigungen dessen, was es tun kann, werden durch die IAM-Richtlinien bestimmt, die der IAM-Rolle zugeordnet sind.
Die Lambda-IAM-Rolle funktioniert genauso, außer dass nur die Lambda-Funktion die Lambda-IAM-Rolle usw. verwenden kann.
Kurze Antwort für Googler: Sie können dem Benutzer keine Rolle zuweisen.
Benutzer können Rollen gemäß AWS-Dokumenten übernehmen:
Benutzer: Endbenutzer ( Think People ).
Gruppen: Eine Sammlung von Benutzern mit einer Berechtigung ( Berechtigung als Richtlinie ). Gemäß den IAM-Standards erstellen wir Gruppen mit Berechtigungen und weisen dieser Gruppe dann Benutzer zu.
Rolle: Sie erstellen Rollen und weisen sie der AWS-Ressource zu (ein AWS-Ressourcenbeispiel kann ein Kunde, Lieferant, Auftragnehmer, Mitarbeiter, eine EC2-Instanz oder eine externe Anwendung außerhalb von AWS sein ). Denken Sie jedoch daran, dass Sie dem Benutzer keine Rolle zuweisen können.
Nicht nur Benutzer werden sich anmelden, manchmal benötigen Anwendungen Zugriff auf AWS-Ressourcen. Beispielsweise muss eine EC2-Instanz möglicherweise auf einen oder mehrere S3-Buckets zugreifen. Anschließend muss eine IAM-Rolle erstellt und an die EC2-Instanz angehängt werden. Diese Rolle kann von verschiedenen EC2-Instanzen wiederverwendet werden.
Denken Sie daran: Gruppen sind zum Leben da. Rollen sind für Nichtlebende.
Ich war die ganze Zeit verwirrt über den Unterschied zwischen diesen beiden Funktionen.
Zusamenfassend,
Die Rolle ist wie ein Tag mit allen voreingestellten Richtlinien, die an IAM-Benutzer / -Gruppen oder AWS-Services angehängt werden können. IAM-Benutzer teilen dasselbe Konto mit dem Root-Benutzer des Kontos (Admin), jedoch mit den vom Root-Benutzer zugewiesenen Berechtigungen zur Verwendung von AWS-Ressourcen in diesem Konto.
Daher können IAM-Benutzer direkt mit AWS-Diensten interagieren. Während IAM-Rollen keine direkten Anforderungen an AWS-Services stellen können, sollen sie von autorisierten Entitäten wie einem IAM-Benutzer oder einer Instanz übernommen werden. https://aws.amazon.com/iam/faqs/
Es kann jeweils nur eine IAM-Rolle übernommen werden! Und es gibt verschiedene Situationen, die genau zu dieser Art von Erlaubnis passen.
Lesen Sie die FAQ über: Wie viele IAM-Rollen kann ich übernehmen?
Das verwendete Unterlagetool ist "Berechtigung" in beiden Anwendungsfällen, nämlich: Gruppen- und IAM-Rolle.
Gruppen- oder IAM-Rolle -> Hat Richtlinie -> Richtlinie definiert Berechtigungen -> Berechtigungen werden einer Gruppen- oder IAM-Rolle zugewiesen .