AWS: Роль или нет Роль?

Question

Из Документы AWS :

When to Create an IAM User (Instead of a Role)
...
You want to use the command-line interface (CLI) to work with AWS.

When to Create an IAM Role (Instead of a User)

- You're creating an application that runs on an Amazon Elastic Compute Cloud (Amazon EC2) instance and that application makes requests to AWS.
- You're creating an app that runs on a mobile phone and that makes requests to AWS.
- Users in your company are authenticated in your corporate network and want to be able to use AWS without having to sign in again—that is, you want to allow users to federate into AWS.

Но похоже, что компании интенсивно используют роли для всего:

• Роль для групп путем создания ролей с определеннымиполитики и создание пользовательских политик для применения к группам.
• Принятие роли для использования интерфейса командной строки.
• Переключение роли для использования разных учетных записей.

Это чрезмерно или реальнорабочее решение?

Answer 1

Это чрезмерное или реальное решение на основе работы?

Исходя из моего собственного опыта работы с AWS, интенсивное использование ролей является реальным решением на основе работы, потому что в моей компании мы используем толькоролей для предоставления доступа пользователям (да, в ваших средах AWS зарегистрировано 0 пользователей).Я перечислю причины, по которым мы выбрали этот способ:

1. Мы используем Контрольная вышка AWS .

Эта служба позволяет организациям AWS сминимум 3 аккаунта AWS для управления вашей организацией.Было бы неразберихой с тем, что нам нужно было создать пользователя для каждой учетной записи AWS.Также AWS Control Tower позволяет AWS Single Sign-On .

Мы используем Единый вход в систему AWS .

Этот сервис связывает несколько учетных записей AWS с несколькими ролями с несколькими пользователями.Описание:

AWS Single Sign-On (SSO) - это облачная служба единого входа, которая упрощает централизованное управление доступом единого входа к нескольким учетным записям AWS и бизнес-приложениям.Всего несколькими щелчками мыши вы можете включить высокодоступную службу единого входа без первоначальных инвестиций и текущих затрат на обслуживание вашей собственной инфраструктуры единого входа.Благодаря единому входу в AWS вы можете легко централизованно управлять доступом к единому входу и правами пользователей для всех своих учетных записей в организациях AWS.AWS SSO также включает в себя встроенные интеграции SAML со многими бизнес-приложениями, такими как Salesforce, Box и Office 365. Кроме того, с помощью мастера настройки приложений AWS SSO вы можете создавать интеграции Security Assertion Markup Language (SAML) 2.0 и расширять SSO.доступ к любому из ваших приложений с поддержкой SAML.Ваши пользователи просто входят в пользовательский портал с учетными данными, которые они настраивают в едином входе AWS, или используют свои существующие корпоративные учетные данные для доступа ко всем назначенным им учетным записям и приложениям из одного места.

Пожалуйста, ознакомьтесь с некоторыми функции , предлагаемые этой услугой.Использование ролей вместо пользователей дает много преимуществ.С моей точки зрения, с AWS SSO само AWS облегчает использование ролей.

---

Единственный недостаток, который я обнаружил, заключается в том, что каждый раз, когда мне нужно использовать AWS CLI, мне нужен доступ к порталу AWS SSO.скопируйте учетные данные и вставьте в мой терминал, потому что срок действия учетных данных истекает через некоторое время.Но, в конце концов, этот недостаток невелик по сравнению с безопасностью, которую обеспечивает этот процесс - если мой компьютер будет украден, доступ к CLI AWS не удастся из-за истечения срока действия учетных данных.