Группы безопасности больше о контроле сети. Вы можете рассматривать их как виртуальный межсетевой экран, который контролирует трафик.
Они указывают, какой входящий / исходящий трафик разрешать / запрещать на основании следующих критериев / фильтров
- Протокол
- Порт
- IP-адрес отправителя / получателя
Роли IAM больше используются для определения того, что личность может и не может делать в AWS. По сути, это набор разрешений, которые предоставляют доступ к действиям и ресурсам в AWS.
Пример : группа безопасности для ресурса X сообщает, что разрешает входящий трафик через порт 1111 по протоколу HTTP
Сценарий 1: Lambda, которому назначена роль для доступа к Ресурсу X, пытается установить связь с Ресурсом X через порт 2222 по протоколу HTTP, потерпит неудачу. Поскольку группа безопасности для Ресурса X разрешает связь только через порт 1111.
Сценарий 2. Вы не привязываете какую-либо роль к лямбде, которая будет обращаться к ресурсу X. Теперь, если он попытается связаться с ресурсом X через порт 1111 по протоколу HTTP, произойдет сбой. Поскольку, несмотря на попытки доступа к ресурсу X по правильному порту и протоколу, у него нет прав для этого