Разница между политическим путем "arn: aws: iam :: aws: policy / aws-service-role" и "" arn: aws: iam :: aws: policy / service-role - PullRequest
Новая
       26

Разница между политическим путем "arn: aws: iam :: aws: policy / aws-service-role" и "" arn: aws: iam :: aws: policy / service-role

1 голос
/ 01 октября 2019

Какая разница между политиками под путями "aws: policy / service-role" и "aws: policy / aws-service-role"? Есть ли какая-то логика в этом дизайне?

Спасибо

Даниэль

1 Ответ

0 голосов
/ 01 октября 2019

Управляемые политики AWS в пути aws-service-role - это политики, которые прикрепляются только к роли, связанной со службой.

Если перейти в Консоль AWS -> IAM -> Политики, выполнить фильтрацию по управляемым политикам AWSи начните нажимать на них, и вы заметите, что у тех, у кого путь aws-servive-role, есть метка справки вверху, которая гласит: «Эта политика связана со службой и используется только с ролью, связанной со службой для этой службы. Вы не можетеприкрепить, отсоединить, изменить или удалить эту политику. "При описании политик, отличных от проверки путей, может быть способ фильтрации к сервис-связанным политикам в консоли AWS или CLI, но это намекает на меня прямо сейчас.

Вы можете увидеть их использование, описанное здесь https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html.

Здесь также находится сообщение в блоге, в котором описывается роль, связанная со службой https://aws.amazon.com/blogs/security/introducing-an-easier-way-to-delegate-permissions-to-aws-services-service-linked-roles/. В основном это роли, которые могут быть приняты только определенным типом службы.

Управляемые политики AWS в пути service-role - это политики, которые можно прикрепить к любой роли, включая «обычные / основные» роли. Эти типы ролей могут быть приняты пользователями, экземплярами EC2 или где-либо еще.

Например, вы можете дать кому-то разрешение присоединить роль связанного сервиса, к которой прикреплена политика arn:aws:iam::aws:policy/aws-service-role/AWSLambdaReplicator, котораяприсоединяется только к связанной роли, связанной со службой Lambda. Они смогут использовать эту роль в роли выполнения Lambda, но не смогут использовать эту роль с другой службой, такой как EC2 или пользователь IAM. Это поддерживает администратора, позволяющего пользователям назначать разрешения для новых ресурсов, которые раскручивают пользователи (новая лямбда), которым администратор доверяет использование связанной службы AWS, но не хочет разрешать этому пользователю доступ напрямую через свою учетную запись пользователя. или передать их другим пользовательским приложениям, работающим в AWS.

...