Роли IAM позволяют предоставить права доступа пользователям или сервисам, у которых обычно нет доступа к ресурсам AWS вашей организации. Пользователям IAM или сервисам AWS можно присвоить роли для получения временных данных для доступа, которые они могут использовать для вызовов API AWS. В результате не требуется предоставлять долгосрочные данные для доступа или назначать разрешения для каждого объекта, которому требуется доступ к определенному ресурсу.

Начало работы с ролями IAM для инстансов EC2

В следующих сценариях выделены некоторые из проблем, с которыми вы можете столкнуться при делегировании доступа.

  • Предоставление приложениям, работающим на инстансах Amazon EC2, доступа к ресурсам AWS

Чтобы предоставить приложениям на инстансе Amazon EC2 доступ к ресурсам AWS, разработчики могут распространить на каждый инстанс свои данные для доступа. Затем приложения могут использовать эти данные для доступа к ресурсам, таким как корзины Amazon S3 или данные Amazon DynamoDB. Однако предоставление каждому инстансу данных для доступа на длительный срок – спорный момент, создающий потенциальную угрозу безопасности. В приведенном выше видеоматериале подробно описывается, как использовать роли для решения подобной проблемы безопасности.

  • Доступ к нескольким аккаунтам
Для контроля или управления доступом к ресурсам, например изолирования рабочей среды от среды разработки, может понадобиться несколько аккаунтов AWS. Однако в некоторых случаях пользователям из одного аккаунта может потребоваться доступ к ресурсам другого аккаунта. К примеру, пользователю из среды разработки может быть необходим доступ к рабочей среде для продвижения обновлений. Поэтому у пользователей должны быть данные, подтверждающие права доступа к каждому аккаунту; однако управление несколькими наборами таких данных для нескольких аккаунтов затрудняет управление удостоверениями. Использование роли IAM может упростить эту задачу. См. пример использования компанией Trend Micro, чтобы увидеть, как работает доступ к нескольким аккаунтам.
  • Предоставление разрешений сервисам AWS
Прежде чем сервисы AWS смогут выполнять какие-либо действия от вашего имени, необходимо предоставить им соответствующие разрешения. Можно использовать роли AWS IAM, чтобы предоставить разрешения сервисам AWS вызывать другие сервисы AWS от вашего имени или создавать ресурсы AWS и управлять ими в вашем аккаунте. Сервисы AWS, такие как Amazon Lex, также предлагают связанные с сервисом роли, которые являются предварительно настроенными и могут приниматься только этим конкретным сервисом.

Для получения дополнительной информации об управлении ролями в IAM см. раздел Роли руководства по использованию IAM.

Узнайте, как управлять разрешениями с помощью AWS IAM

Посетите страницу с информацией об управлении разрешениями
Готовы приступить к разработке?
Начать работу с AWS IAM
Возникли дополнительные вопросы?
Свяжитесь с нами