Роли IAM позволяют предоставить права доступа пользователям или сервисам, у которых обычно нет доступа к ресурсам AWS вашей организации. Пользователям IAM или сервисам AWS можно присвоить роли для получения временных данных для доступа, которые они могут использовать для вызовов API AWS. В результате не требуется предоставлять долгосрочные данные для доступа или назначать разрешения для каждого объекта, которому требуется доступ к определенному ресурсу.
В следующих сценариях выделены некоторые из проблем, с которыми вы можете столкнуться при делегировании доступа.
- Предоставление приложениям, работающим на инстансах Amazon EC2, доступа к ресурсам AWS
Чтобы предоставить приложениям на инстансе Amazon EC2 доступ к ресурсам AWS, разработчики могут распространить на каждый инстанс свои данные для доступа. Затем приложения могут использовать эти данные для доступа к ресурсам, таким как корзины Amazon S3 или данные Amazon DynamoDB. Однако предоставление каждому инстансу данных для доступа на длительный срок – спорный момент, создающий потенциальную угрозу безопасности. В приведенном выше видеоматериале подробно описывается, как использовать роли для решения подобной проблемы безопасности.
- Доступ к нескольким аккаунтам
- Предоставление разрешений сервисам AWS
Для получения дополнительной информации об управлении ролями в IAM см. раздел Роли руководства по использованию IAM.
Узнайте, как управлять разрешениями с помощью AWS IAM