Роли IAM позволяют предоставить права доступа пользователям или сервисам, у которых обычно нет доступа к ресурсам AWS вашей организации. Пользователям IAM или сервисам AWS можно присвоить роли для получения временных данных для доступа, которые они могут использовать для вызовов API AWS. Как следствие, не требуется предоставлять долгосрочные данные для доступа или назначать разрешения для каждого объекта, которому требуется доступ к определенному ресурсу.
- Представляем упрощенный способ делегирования разрешений сервисам AWS: связанные с сервисами роли
- Adhere to IAM Best Practices in 2016
- How to Use a Single IAM User to Easily Access All Your Accounts by Using the AWS CLI
- Test Your Roles' Access Policies Using the AWS Identity and Access Management Policy Simulator
- Make a New Year’s Resolution: Adhere to IAM Best Practices
- Enable a New Feature in the AWS Management Console: Cross-Account Access
- Sharing AWS CloudTrail Log Files Between Accounts
Начните работать с AWS бесплатно
Создать бесплатный аккаунтили войти в Консоль
Уровень бесплатного пользования AWS включает 750 часов использования узла микрокэша Amazon ElastiCache.
В следующих сценариях выделены некоторые из проблем, с которыми вы можете столкнуться при делегировании доступа.
- Предоставление приложениям, работающим на инстансах Amazon EC2, доступа к ресурсам AWS
Чтобы предоставить приложениям на инстансе Amazon EC2 доступ к ресурсам AWS, разработчики могут распространить на каждый инстанс свои данные для доступа. Затем приложения могут использовать эти данные для доступа к ресурсам, таким как корзины Amazon S3 или данные Amazon DynamoDB. Однако предоставление каждому инстансу данных для доступа на длительный срок – спорный момент, создающий потенциальную угрозу безопасности. В приведенном выше видеоматериале подробно описывается, как использовать роли для решения подобной проблемы безопасности.
- Доступ к нескольким аккаунтам
Чтобы осуществлять контроль или управление доступом к ресурсам, например изолировать рабочую среду от среды разработки, может понадобиться несколько аккаунтов AWS. Однако в некоторых случаях пользователям из одного аккаунта может потребоваться доступ к ресурсам другого аккаунта. К примеру, пользователю из среды разработки может быть необходим доступ к рабочей среде для продвижения обновлений. Поэтому у пользователей должны быть данные, подтверждающие права доступа к каждому аккаунту; однако управление несколькими наборами таких данных для нескольких аккаунтов затрудняет управление удостоверениями. Использование роли IAM может упростить эту задачу. См. пример использования компанией Trend Micro, чтобы увидеть, как работает доступ к нескольким аккаунтам.
- Предоставление разрешений сервисам AWS
Прежде чем сервисы AWS смогут выполнять какие-либо действия от вашего имени, необходимо предоставить им соответствующие разрешения. Можно использовать роли AWS IAM, чтобы предоставить разрешения сервисам AWS вызывать другие сервисы AWS от вашего имени или создавать ресурсы AWS и управлять ими в вашем аккаунте. Сервисы AWS, такие как Amazon Lex, также предлагают связанные с сервисом роли, которые являются предварительно настроенными и могут приниматься только этим конкретным сервисом.
Для получения дополнительной информации об управлении ролями в IAM см. раздел Роли руководства по использованию IAM.