จัดการบทบาทใน IAM
บทบาทใน AWS Identity และ Access Management (IAM) คือเอนทิตีที่คุณสร้างและกำหนดสิทธิ์เฉพาะเพื่ออนุญาตข้อมูลประจำตัวที่เชื่อถือได้ เช่น ข้อมูลประจำตัวของพนักงานและแอปพลิเคชันเพื่อดำเนินการใน AWS เมื่อใช้ข้อมูลประจำตัวที่เชื่อถือได้เป็นบทบาทใน IAM ข้อมูลประจำตัวจะได้รับสิทธิ์ตามขอบเขตของบทบาทใน IAM เหล่านั้นเท่านั้น การใช้บทบาทใน IAM เป็นแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัย เนื่องจากบทบาทจะให้ข้อมูลประจำตัวชั่วคราวที่ไม่จำเป็นต้องหมุนเวียน
สถานการณ์ทั่วไปที่ใช้บทบาทใน IAM
เชื่อมโยงข้อมูลประจำตัวพนักงานเข้ากับ AWS: เมื่อใช้ศูนย์ข้อมูลประจำตัวของ IAM ผู้ใช้ของคุณสามารถใช้ข้อมูลประจำตัวขององค์กรที่มีอยู่เพื่อรวมเข้ากับบัญชี AWS เมื่อใช้บทบาทใน IAM คุณสามารถระบุสิทธิ์ที่ผู้ใช้ควรมีเมื่อเข้าถึงบัญชี AWS
สิทธิ์เข้าถึงเวิร์กโหลดใน AWS: เวิร์กโหลดคือคอลเลกชันของทรัพยากรและรหัส เช่น แอปพลิเคชันที่ต้องใช้ข้อมูลประจำตัวเพื่อส่งคำขอไปยังบริการของ AWS เมื่อใช้บทบาทใน IAM แอปพลิเคชันของคุณที่ทำงานในทุกสภาพแวดล้อมการประมวลผล AWS เช่น อินสแตนซ์ Amazon EC2 จะสามารถเข้าถึงทรัพยากร AWS ด้วยข้อมูลประจำตัวชั่วคราว ทำให้ไม่จำเป็นต้องจัดการข้อมูลประจำตัวระยะยาว
สิทธิ์เข้าถึงเวิร์กโหลดที่ทำงานนอก AWS: คุณอาจมีเวิร์กโหลดที่ทำงานนอก AWS เช่น สภาพแวดล้อมในองค์กร แบบไฮบริด แบบมัลติคลาวด์ซึ่งจำเป็นต้องเข้าถึงทรัพยากร AWS ของคุณ เมื่อใช้ IAM Roles Anywhere แอปพลิเคชันของคุณที่อยู่นอก AWS จะสามารถเข้าถึงทรัพยากรในสภาพแวดล้อม AWS ได้ชั่วคราว
เปิดใช้งานสิทธิ์เข้าถึงแบบข้ามบัญชี: เราขอแนะนำให้คุณใช้ บัญชี AWS หลายบัญชี เพื่อแยกและจัดการแอปพลิเคชันและข้อมูลทางธุรกิจของคุณ หากต้องการอนุญาตให้ข้อมูลประจำตัวของคุณในบัญชี AWS หนึ่งเข้าถึงทรัพยากรในอีกบัญชี AWS หนึ่ง คุณสามารถใช้บทบาทใน IAM เพื่อให้สิทธิ์เข้าถึงได้
ให้สิทธิ์เข้าถึงบริการของ AWS: ต้องให้สิทธิ์อนุญาตบริการของ AWS เพื่อดำเนินการในบัญชี AWS ในนามของคุณ เมื่อคุณตั้งค่าสภาพแวดล้อมบริการของ AWS คุณจะต้องกำหนดบทบาทสำหรับบริการที่ต้องการ บริการสามารถเป็นบทบาทสำหรับบริการ และดำเนินการตามที่คุณระบุเท่านั้น
ดูข้อมูลเพิ่มเติมเกี่ยวกับบทบาท ได้ที่บทบาทใน IAM ในคู่มือผู้ใช้ IAM
เรียนรู้วิธีจัดการสิทธิ์ด้วย IAM