Почему существуют РОЛИ и ПОЛИТИКА?

Question

Я понимаю разницу между ролями и политиками, но вопрос в том, почему эти два существуют?Я имею в виду, почему бы не использовать сервисы AWS с политиками?спасибо

Answer 1

Роли IAM аналогичны пользователям IAM.Мы создаем роли для выполнения операций с требуемым Сервисом AWS.

Например: мы можем создать роль, которая может выполнять операцию записи в таблицу DynamoDB, и назначить эту роль лямбда-функции.Затем лямбда-функция может использовать привилегию этой роли для записи чего-либо в DynamoDB.

Политики - это просто документы JSON, в которых мы можем указывать разрешения: операции могут быть разрешены или запрещены.Политики привязаны к идентификаторам IAM, таким как пользователи, группы и роли.

Таким образом, вопрос в том, почему существуют оба, почему бы не использовать сервис AWS с политиками.Ответ прост: мы на самом деле используем сервисы AWS с политиками, но от имени пользователя или ролей IAM.

Answer 2

Политики присваиваются ролям.Роли ничего не делают сами по себе.Вы должны использовать роли для служб для простоты и безопасности.При назначении ролей сервису вам больше не нужно предоставлять ключи доступа AWS непосредственно к этим сервисам, так как они будут предоставлены среде в роли.Это намного безопаснее и проще, чем необходимость передавать эти элементы службе или приложению, работающему в AWS, и защищать их как в службе, так и в коде.