можно ли назначать роли пользователям и группам в AWS

Question

Я недавно начал сертифицированного разработчика AWS от udemy.В учебном пособии говорится: «Роли НЕ МОГУТ быть назначены пользователям или группам, подобным политикам».Но мой поиск в интернете говорит, что роли могут назначаться пользователям и группам в AWS.

Может кто-нибудь распутать мою путаницу здесь.

Answer 1

Краткий ответ: Нет!

---

Вы немного запутали свои определения этих терминов:

• Пользователь IAM = Одна учетная запись с учетными данными для входа, например JohnDoe
• Роль IAM = Одна учетная запись без учетных данных, созданная для ресурсов AWS для «Предположения», например, MyWebServerRole может использоваться экземплярами EC2, работающими с веб-службами

• Группа IAM = Коллекция пользователей IAM, например, WebAdmins может иметь специальные разрешения для группы, и пользователи IAM могут быть добавлены или удалены по мере необходимости, например группа AD.

• Политика IAM = Правила доступа к ресурсам, например, Список экземпляров EC2.

Политики добавляются в Пользователи, Роли или Группы для предоставления им разрешений, указанных в политике.

---

Если вы готовитесь к вступительным экзаменам, вам также следует прочитать часто задаваемые вопросы по AWS и AWS White Papers . Это одни из лучших материалов для подготовки к экзамену.

Часто задаваемые вопросы IAM читаются при ответе на такие вопросы:

В: Что такое группа? Группа - это коллекция пользователей IAM. Управление членством в группе в виде простого списка: Добавить пользователей или удалить их из группы. Пользователь может принадлежать к нескольким группам. Группы не могут принадлежать другим группам. Группам могут быть предоставлены разрешения с использованием политик контроля доступа. Это упрощает управление разрешениями для группы пользователей, а не управление разрешениями для каждого отдельного пользователя. Группы не имеют учетных данных безопасности и не могут напрямую обращаться к веб-службам; они существуют исключительно для упрощения управления правами пользователей. Подробнее см. Работа с группами и пользователями.

В: Что такое роль IAM? Роль IAM - это объект IAM, который определяет набор разрешений для выполнения запросов на обслуживание AWS. Роли IAM не связаны с конкретным пользователем или группой. Вместо этого доверенные объекты выполняют роли, такие как пользователи IAM, приложения или службы AWS, такие как EC2.

В: В чем разница между ролью IAM и пользователем IAM? Пользователь IAM имеет постоянные долгосрочные учетные данные и используется для непосредственного взаимодействия со службами AWS. Роль IAM не имеет учетных данных и не может выполнять прямые запросы к сервисам AWS. Роли IAM предназначены для выполнения уполномоченными лицами, такими как пользователи IAM, приложения или сервис AWS, такой как EC2.

В: Как работают разрешения? Политики контроля доступа прикрепляются к пользователям, группам и ролям для назначения разрешений ресурсам AWS. По умолчанию пользователи, группы и роли IAM не имеют разрешений; пользователи с достаточными разрешениями должны использовать политику для предоставления желаемых разрешений.

В: Как назначить разрешения с помощью политики? Чтобы установить разрешения, вы можете создавать и присоединять политики с помощью Консоли управления AWS, API IAM или интерфейса командной строки AWS. Пользователи, которым были предоставлены необходимые разрешения, могут создавать политики и назначать их пользователям, группам и ролям IAM.

Answer 2

Роль - это группа политик, связанных между собой и связанных с определенной сущностью (сервис AWS, учетная запись AWS или веб-удостоверения) , а не для пользователя или группы IAM .
Пользователь / группа IAM - это своего рода роль, если подумать, потому что к ней прикреплен список политик, которые может использовать разработчик, вошедший в систему с указанными учетными данными.
Кроме того, если вы попытаетесь немного поиграть с Консолью AWS, то обнаружите, что не можете прикреплять роли к пользователям и группам, только к политикам.