Роли IAM позволяют предоставить права доступа пользователям или сервисам, у которых обычно нет доступа к ресурсам AWS вашей организации. Пользователям IAM или сервисам AWS можно присвоить роли для получения временных данных для доступа, которые они могут использовать для вызовов API AWS. Как следствие, не требуется предоставлять долгосрочные данные для доступа или назначать разрешения для каждого объекта, которому требуется доступ к определенному ресурсу.

XuRM4Id6uDY-Video_Thumb
3:24
Начало работы с ролями IAM для инстансов EC2

Начните работать с AWS бесплатно

Создать бесплатный аккаунт
или войти в Консоль

Уровень бесплатного пользования AWS включает 750 часов использования узла микрокэша Amazon ElastiCache.

Сведения об уровне бесплатного пользования AWS »

В следующих сценариях выделены некоторые из проблем, с которыми вы можете столкнуться при делегировании доступа.

  • Предоставление приложениям, работающим на инстансах Amazon EC2, доступа к ресурсам AWS
    Чтобы предоставить приложениям на инстансе Amazon EC2 доступ к ресурсам AWS, разработчики могут распространить на каждый инстанс свои данные для доступа. Затем приложения могут использовать эти данные для доступа к ресурсам, таким как корзины Amazon S3 или данные Amazon DynamoDB. Однако предоставление каждому инстансу данных для доступа на длительный срок – спорный момент, создающий потенциальную угрозу безопасности. В приведенном выше видеоматериале подробно описывается, как использовать роли для решения подобной проблемы безопасности.
  • Доступ к нескольким аккаунтам
    Чтобы осуществлять контроль или управление доступом к ресурсам, например изолировать рабочую среду от среды разработки, может понадобиться несколько аккаунтов AWS. Однако в некоторых случаях пользователям из одного аккаунта может потребоваться доступ к ресурсам другого аккаунта. К примеру, пользователю из среды разработки может быть необходим доступ к рабочей среде для продвижения обновлений. Поэтому у пользователей должны быть данные, подтверждающие права доступа к каждому аккаунту; однако управление несколькими наборами таких данных для нескольких аккаунтов затрудняет управление удостоверениями. Использование роли IAM может упростить эту задачу.  См. пример использования компанией Trend Micro, чтобы увидеть, как работает доступ к нескольким аккаунтам.
  • Предоставление разрешений сервисам AWS
    Прежде чем сервисы AWS смогут выполнять какие-либо действия от вашего имени, необходимо предоставить им соответствующие разрешения. Можно использовать роли AWS IAM, чтобы предоставить разрешения сервисам AWS вызывать другие сервисы AWS от вашего имени или создавать ресурсы AWS и управлять ими в вашем аккаунте. Сервисы AWS, такие как Amazon Lex, также предлагают связанные с сервисом роли, которые являются предварительно настроенными и могут приниматься только этим конкретным сервисом.

Для получения дополнительной информации об управлении ролями в IAM см. раздел Роли руководства по использованию IAM.