Trang web văn phòng AWS đọc vai trò như một tập hợp các quyền và nhóm dưới dạng tập hợp người dùng. Nhưng họ vẫn trông giống tôi. Bạn áp dụng các chính sách cho các nhóm hoặc vai trò, sau đó gán các nhóm hoặc vai trò cho người dùng. Sự khác biệt chính xác giữa vai trò và nhóm là gì?Vai trò IAM AWS vs Nhóm
Nhóm AWS là các nhóm tiêu chuẩn mà bạn có thể xem là tập hợp nhiều người dùng và người dùng có thể thuộc về nhiều nhóm.
AWS IAM Vai trò là tất cả các loài khác nhau; chúng hoạt động giống như người dùng cá nhân ngoại trừ việc họ làm việc chủ yếu hướng tới phong cách mạo danh và thực hiện giao tiếp với các cuộc gọi API AWS mà không chỉ định thông tin đăng nhập.
Do IAM Vai trò có chút khác biệt, tôi chỉ nhấn mạnh điều đó. Có một số loại Vai trò IAM như Vai trò IAM EC2, Lambda, vv Nếu bạn xem xét, bạn có thể khởi chạy một cá thể EC2 với một vai trò IAM EC2; do đó, bất kỳ liên lạc liên quan đến API AWS nào cũng không yêu cầu bất kỳ khóa truy cập AWS hoặc khóa bí mật nào để xác thực thay vì có thể gọi trực tiếp các API (tuy nhiên câu trả lời dài là - nó sử dụng STS và liên tục tái chế thông tin đăng nhập đằng sau hậu trường); các đặc quyền hoặc quyền của những gì nó có thể làm được xác định bởi các chính sách IAM gắn liền với vai trò IAM.
Lambda IAM Vai trò làm việc giống hệt nhau, ngoại trừ việc chức năng Lambda chỉ có thể sử dụng Vai trò Lambda IAM, vv
Câu trả lời ngắn cho nhân viên của Google: bạn không thể gán vai trò cho người sử dụng.
Người dùng có thể asume vai trò theo tài liệu AWS:
Điều này không đúng. Một cá thể EC2 có vai trò IAM vẫn sử dụng các khóa truy cập; nhưng chúng được lấy ra (tự động sử dụng SDK, hoặc bằng tay khác) từ siêu dữ liệu cá thể, và rất ngắn ngủi. Chi tiết khác tại http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#instance-metadata-security-credentials – chris
cảm ơn bạn Chris - Tôi đã cập nhật câu trả lời . Sự cố gắng ban đầu của tôi là làm nổi bật việc không cần phải can thiệp vào Khóa Truy cập và Bí mật. –