В вашем примере подключения Amazon EC2 к Amazon S3 на самом деле код вашей программы выполняется на экземпляре Amazon EC2, который выполняет вызовы Amazon S3. Вызовы API для S3 должны быть аутентифицированы и авторизованы с помощью учетных данных IAM.
Существуют также ситуации, когда служба AWS вызывает другую службу AWS от вашего имени , используяроль, связанная с услугами, например, когда Amazon EC2 Auto Scaling запускает новые экземпляры Amazon EC2. Это требует предоставления связанной с сервисом роли для Amazon EC2 Auto Scale , которая дает одному сервису разрешение на вызов другого сервиса.
В случае создание Default VPC это то, что AWS делает до , когда клиент получает учетную запись. Таким образом, клиенты могут запускать ресурсы (например, экземпляр Amazon EC2) без необходимости сначала создавать VPC. Это часть стандартной настройки учетной записи.
Похоже, что AWS также предоставила команду CreateDefaultVpc() для воссоздания VPC по умолчанию. В документации говорится, что разрешения на выполнение этого вызова API достаточно для создания ресурсов, не требуя разрешения для каждого базового вызова, который он, вероятно, генерирует. Я предполагаю, что он использует разрешения, которые обычно связаны с ролью, связанной с сервисом, за исключением того, что для действий VPC нет никакой роли, связанной с сервисом. Если вас беспокоят люди, создающие эти ресурсы (например, интернет-шлюз), вы можете запретить пользователям возможность звонить CreateDefaultVpc(), что не позволит им использовать команду.