AWS: предоставление ролей IAM пользователям IAM

Question

В соответствии с официальной документацией AWS , роли IAM могут также быть привязаны к пользователям IAM, а не только к услугам.

Каков будет действительный вариант использованияназначить роль IAM пользователю IAM?

Не все ли случаи охватываются прямым предоставлением (разрешением / отказом) политик IAM пользователям?

TBHПервоначально у меня сложилось впечатление, что роли IAM служат для авторизации сервисов AWS (чтобы они могли взаимодействовать с другими сервисами), поскольку последние не могут рассматриваться в контексте пользователя

.

Answer 1

Рекомендуется IAM - назначать роли пользователям AWS из других учетных записей AWS для делегирования разрешений.Это сделано для того, чтобы избежать совместного использования учетных данных между учетными записями AWS.

---

Я также хотел бы отметить, что ваше первоначальное впечатление о ролях, поскольку авторизация неверна.Единственным ресурсом IAM, который считается авторизацией, являются политики IAM.

Это можно увидеть в документации AWS по Understanding IAM и в следующем обучающем видео AWS: Аутентификация и авторизация сУправление идентификацией и доступом AWS (требуется регистрация)

Три других основных ресурса IAM: пользователи, группы и роли считаются частью аутентификации.

Answer 2

Как вы ясно поняли, роли AWS служат целям аутентификации (с политиками IAM для авторизации) для сервисов AWS.В отличие от этого, пользователи AWS IAM напрямую сопоставляются с пользователем-пользователем, который получает учетные данные для входа в консоль управления AWS.

Однако при предоставлении доступа пользователю вне учетной записи AWS (например, кросс-доступ к учетной записи, федерация аутентификации AD).) это потребует роли IAM для получения разрешения.

Ссылаясь на предоставленную вами документацию, это не прямой пользователь IAM, который получает разрешение, а пользователь Active Directory (внешний), принимающий роль IAM (непрямому пользователю IAM), чтобы получить доступ к ресурсам AWS.