Роли IAM позволяют предоставить права доступа пользователям или сервисам, у которых обычно нет доступа к ресурсам AWS вашей организации. Пользователям IAM или сервисам AWS можно присвоить роли для получения временных данных для доступа, которые они могут использовать для вызовов API AWS. В результате не требуется предоставлять долгосрочные данные для доступа или назначать разрешения для каждого объекта, которому требуется доступ к определенному ресурсу.

Secure access to AWS services by using IAM roles (Безопасный доступ к сервисам AWS с помощью ролей IAM) (6:04)

В следующих сценариях выделены некоторые из проблем, с которыми вы можете столкнуться при делегировании доступа.

  • Предоставление приложениям, работающим на инстансах Amazon EC2, доступа к ресурсам AWS

Чтобы предоставить приложениям на инстансе Amazon EC2 доступ к ресурсам AWS, разработчики могут распространить на каждый инстанс свои данные для доступа. Затем приложения могут использовать эти данные для доступа к ресурсам, таким как корзины Amazon S3 или данные Amazon DynamoDB. Однако предоставление каждому инстансу данных для доступа на длительный срок – спорный момент, создающий потенциальную угрозу безопасности. В приведенном выше видеоматериале подробно описывается, как использовать роли для решения подобной проблемы безопасности.

  • Доступ к нескольким аккаунтам
Для контроля или управления доступом к ресурсам, например изолирования рабочей среды от среды разработки, может понадобиться несколько аккаунтов AWS. Однако в некоторых случаях пользователям из одного аккаунта может потребоваться доступ к ресурсам другого аккаунта. К примеру, пользователю из среды разработки может быть необходим доступ к рабочей среде для продвижения обновлений. Поэтому у пользователей должны быть данные, подтверждающие права доступа к каждому аккаунту; однако управление несколькими наборами таких данных для нескольких аккаунтов затрудняет управление удостоверениями. Использование роли IAM может упростить эту задачу. См. пример использования компанией Trend Micro, чтобы увидеть, как работает доступ к нескольким аккаунтам.
  • Предоставление разрешений сервисам AWS
Прежде чем сервисы AWS смогут выполнять какие-либо действия от вашего имени, необходимо предоставить им соответствующие разрешения. Можно использовать роли IAM, чтобы предоставить разрешения сервисам AWS вызывать другие сервисы AWS от вашего имени или создавать ресурсы AWS и управлять ими в вашем аккаунте. Сервисы AWS, такие как Amazon Lex, также предлагают связанные с сервисом роли, которые являются предварительно настроенными и могут приниматься только этим конкретным сервисом.

Для получения дополнительной информации об управлении ролями в IAM см. раздел Роли руководства по использованию IAM.

Узнайте, как управлять разрешениями с помощью IAM

Посетите страницу с информацией об управлении разрешениями
Готовы приступить к разработке?
Начало работы с IAM
Есть вопросы?
Связаться с нами