Vai trò IAM cho phép bạn ủy quyền truy cập cho người dùng hoặc dịch vụ mà thường không có quyền truy cập vào tài nguyên AWS của tổ chức của bạn. Người dùng IAM hoặc dịch vụ AWS có thể nhận vai trò lấy thông tin xác thực bảo mật tạm thời mà có thể được sử dụng để thực hiện các cuộc gọi AWS API. Do vậy, bạn không phải chia sẻ thông tin xác thực dài hạn hoặc xác định quyền cho mỗi thực thể cần có quyền truy cập vào tài nguyên.
Các tình huống sau đây nêu bật một số thách thức mà bạn có thể giải quyết bằng cách ủy quyền truy cập:
- Cấp quyền truy cập vào tài nguyên AWS cho các ứng dụng chạy trên phiên bản Amazon EC2
Để cấp quyền truy cập vào tài nguyên AWS cho các ứng dụng trên phiên bản Amazon EC2, các nhà phát triển có thể phân phối thông tin xác thực của họ cho từng phiên bản. Sau đó, các ứng dụng có thể sử dụng thông tin xác thực đó để truy cập vào các tài nguyên như bộ chứa Amazon S3 hoặc dữ liệu Amazon DynamoDB. Tuy nhiên, việc phân phối thông tin xác thực dài hạn cho từng phiên bản là gây khó khăn cho việc quản lý và tiềm ẩn rủi ro bảo mật. Video trên mô tả chi tiết hơn cách sử dụng vai trò để giải quyết vấn đề bảo mật này.
- Truy cập liên tài khoản
- Cấp quyền cho dịch vụ AWS
Để tìm hiểu thêm về cách quản lý vai trò trong IAM, xem phần Vai trò trong hướng dẫn Sử dụng IAM.
Tìm hiểu cách quản lý quyền với AWS IAM