บทบาท IAM ช่วยให้คุณสามารถมอบหมายการเข้าถึงให้กับผู้ใช้หรือบริการที่โดยปกติแล้วจะไม่มีสิทธิ์เข้าถึงทรัพยากรของ AWS ขององค์กรของคุณ ผู้ใช้ IAM หรือบริการของ AWS สามารถยอมรับบทบาทเพื่อรับการยืนยันสำหรับการรักษาความปลอดภัยชั่วคราวที่สามารถนำมาเรียกใช้ AWS API ได้ ดังนั้น คุณไม่จำเป็นต้องแชร์การยืนยันในระยะยาว หรือกำหนดสิทธิ์การอนุญาตให้กับแต่ละเอนทิตีที่ต้องการเข้าถึงทรัพยากร
สถานการณ์ต่อไปนี้เป็นสถานการณ์ที่เน้นให้เห็นถึงอุปสรรคบางอย่างที่คุณสามารถจัดการได้โดยการมอบหมายการเข้าถึง
- การมอบสิทธิ์ให้กับแอปพลิเคชันที่ทำงานบนอินสแตนซ์ Amazon EC2 ให้สามารถเข้าถึงทรัพยากรของ AWS ได้
นักพัฒนาอาจต้องแจกจ่ายการยืนยันของตนให้กับอินสแตนซ์แต่ละรายการเพื่อให้สิทธิ์การเข้าถึงทรัพยากรของ AWS กับแอปพลิเคชันบนอินสแตนซ์ Amazon EC2 จากนั้น แอปพลิเคชันสามารถใช้การยืนยันดังกล่าวในการเข้าถึงทรัพยากร เช่น บัคเก็ต Amazon S3 หรือข้อมูล Amazon DynamoDB แต่การแจกจ่ายการยืนยันในระยะยาวให้กับอินสแตนซ์แต่ละรายการนั้นจัดการได้ยากและอาจทำให้เกิดความเสี่ยงด้านความปลอดภัย วิดีโอข้างต้นอธิบายวิธีใช้บทบาทเพื่อแก้ไขปัญหาด้านความปลอดภัยโดยละเอียด
- การเข้าถึงแบบข้ามบัญชี
- การมอบสิทธิ์ให้แก่บริการของ AWS
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการจัดการบทบาทใน IAM โปรดดูส่วนบทบาทในคู่มือการใช้งาน IAM
เรียนรู้วิธีจัดการสิทธิ์ด้วย IAM