تسمح لك IAM roles بتفويض الوصول إلى المستخدمين أو الخدمات التي عادةً ما لا يكون لها حق الوصول إلى موارد AWS الخاصة بمؤسستك. يمكن لمستخدمي IAM أو خدمات AWS القيام بدور للحصول على بيانات اعتماد الأمان المؤقتة التي يمكن استخدامها لإجراء استدعاءات واجهات برمجة التطبيقات في AWS. وبالتالي، لا يتعين عليك مشاركة بيانات الاعتماد طويلة الأجل أو تحديد أذونات لكل كيان يطلب الوصول إلى مورد.

تأمين الوصول إلى خدمات AWS باستخدام أدوار IAM ‏(6:04)

توضح السيناريوهات التالية بعض التحديات التي يمكنك معالجتها عن طريق تفويض الوصول:

  • منح التطبيقات التي تعمل على مثيلات Amazon EC2 الوصول إلى موارد AWS

لمنح التطبيقات على مثيل Amazon EC2 حق الوصول إلى موارد AWS، يمكن للمطورين توزيع بيانات الاعتماد الخاصة بهم على كل مثيل. يمكن للتطبيقات حينئذٍ استخدام بيانات الاعتماد هذه للوصول إلى موارد مثل حاويات Amazon S3 أو بيانات Amazon DynamoDB. ومع ذلك، فإن توزيع بيانات الاعتماد طويلة الأجل على كل مثيل يمثل تحديًّا للإدارة ومخاطر أمنية محتملة. يصف الفيديو أعلاه بمزيد من التفاصيل كيفية استخدام الأدوار لمعالجة هذه المشكلة الأمنية.

  • الوصول العابر للحسابات
للتحكم في الوصول إلى الموارد أو إدارته، مثل عزل بيئة التطوير عن بيئة الإنتاج، ربما يكون لديك العديد من حسابات AWS. ومع ذلك، في بعض الحالات، قد يحتاج المستخدمون من حساب واحد إلى الوصول إلى الموارد الموجودة في الحساب الآخر. على سبيل المثال، قد يحتاج مستخدم من بيئة التطوير إلى الوصول إلى بيئة الإنتاج للترويج للتحديث. ولذلك، يجب أن يكون لدى المستخدمين بيانات اعتماد لكل حساب، لكن إدارة بيانات اعتماد متعددة لحسابات متعددة تجعل مهمة إدارة الهويات صعبة. ويمكن لاستخدام IAM Role تبسيط كل ذلك. راجع دراسة الحالة Trend Micro لمعرفة الوصول العابر للحسابات أثناء حدوثه.
  • منح الأذونات لخدمات AWS
قبل أن تتمكن خدمات AWS من تنفيذ الإجراءات نيابةً عنك، يجب عليك منحهم الأذونات لإجراء ذلك. يمكنك استخدام أدوار IAM لمنح الأذونات لخدمات AWS لاستدعاء خدمات AWS الأخرى نيابةً عنك، أو إنشاء موارد AWS وإدارتها نيابةً عنك في حسابك. تقدم خدمات AWS مثل Amazon Lex أيضًا أدوارًا مرتبطة بالخدمة محددة مسبقًا ولا يمكن القيام بها إلا بواسطة هذه الخدمة المحددة.

لمزيد من المعلومات حول كيفية إدارة الأدوار في IAM، راجع القسم الأدوار في دليل استخدام IAM.

تعلّم المزيد حول كيفية إدارة الأذونات باستخدام IAM

تفضّل بزيارة صفحة إدارة الأذونات
هل أنت جاهز للتطوير؟
بدء استخدام IAM
هل لديك أسئلة أخرى؟
اتصل بنا