Обзор

Роли Управления идентификацией и доступом AWS (IAM) – это объекты, которые вы создаете и которым назначаете конкретные разрешения, позволяющие сотрудникам или приложениям с доверенным идентификатором выполнять определенные действия в среде AWS. Когда ваши доверенные идентификаторы принимают на себя роли IAM, им предоставляются только те разрешения, которые соответствуют этим ролям IAM. Использование ролей IAM является лучшей практикой безопасности, поскольку роли предоставляют временные учетные данные, которые не нужно менять.

Общие сценарии, в которых используются роли IAM

Объединение учетных данных сотрудников в AWS. Если вы используете Центр идентификации AWS IAM, ваши пользователи могут применять существующие корпоративные учетные данные для федеративного подключения к аккаунтам AWS. С помощью ролей IAM вы можете указать для пользователей разрешения, которые они получат при доступе к аккаунтам AWS.

Доступ к рабочим нагрузкам в AWS. Рабочая нагрузка – это набор ресурсов и кода, например приложение, которому нужна идентификации для выполнения запросов к сервисам AWS. Благодаря использованию ролей IAM ваше приложение, размещенное в инстансах Amazon EC2 или в любой другой вычислительной среде AWS, может получить доступ к ресурсам AWS с временными идентификационными данными, что избавляет от управления долгосрочными учетными данными.

Доступ к рабочим нагрузкам, которые выполняются за пределами AWS. Возможно, у вас есть рабочие нагрузки вне AWS, например в локальной, гибридной и мультиоблачной среде, которым нужен доступ к ресурсам AWS. С помощью IAM Roles Anywhere ваши приложения, размещенные вне AWS, могут получить временный доступ к ресурсам в среде AWS. 

Доступ к нескольким аккаунтам. Мы рекомендуем использовать несколько аккаунтов AWS для изоляции бизнес-приложений и данных и управления ими. Чтобы позволить вашим идентификаторам в одном аккаунте AWS получить доступ к ресурсам в другом аккаунте AWS, вы можете использовать роли IAM для предоставления доступа.

Предоставление доступа сервисам AWS. Сервисам AWS требуется разрешение на выполнение действий в аккаунте AWS от вашего имени. Когда вы настраиваете среду сервиса AWS, вы определяете роль, которую будет выполнять сервис. После этого сервис может получить роль сервиса и выполнять только те действия, которые вы для него указали.

Чтобы узнать больше о ролях, см. раздел Роли IAM в руководстве пользователя IAM.