amazon-web-services - AWS 中 IAM 角色和 IAM 用户之间的区别

Question

IAM 角色和 IAM 用户有什么区别？ IAM FAQ有一个条目解释它，但它是模糊的，不是很清楚:

An IAM user has permanent long-term credentials and is used to directly interact with AWS services. An IAM role does not have any credentials and cannot make direct requests to AWS services. IAM roles are meant to be assumed by authorized entities, such as IAM users, applications, or an AWS service such as EC2.

我认为 IAM 角色用于联合登录(例如，使用带有 SAML token 的 IdP)，并且它们没有您可以像常规 IAM 用户那样下载的永久访问 key (“IAM 角色没有任何凭据”部分)。

他们说 IAM 角色不能直接请求 AWS 服务是什么意思？我可以登录 AWS 控制台(Web 控制台)并创建堆栈等，所以不可能是这样。

Answer 1

要了解差异，让我们通过 IAM 基础知识
IAM 控制:谁(身份验证)可以做什么(授权)在您的 AWS 账户中 .
使用 IAM 的身份验证(谁)是通过用户/组和角色完成的，而授权(什么)是由策略完成的。
这里的术语

用户 - 最终用户考虑人

组 - 一组权限(策略)下的一组用户

角色 - 用于在一段时间内向特定参与者授予特定权限。这些 Actor 可以是通过 AWS 或某些受信任的外部系统进行身份验证。

用户和角色使用策略进行授权。请记住，在您允许使用策略执行某些操作之前，用户和角色无法执行任何操作。
回答以下问题，您将区分用户和角色:

可以有密码吗？是-> 用户，否-> 角色

可以有访问 key 吗？是-> 用户，否-> 角色

可以属于一个组吗？是-> 用户，否-> 角色

可以与 AWS 资源(例如 EC2 实例)相关联吗？否-> 用户，是-> 角色

AWS 支持 3 种不同场景的角色类型

AWS 服务角色(例如:EC2、Lambda、Redshift 等)

跨账户访问:向来自其他 AWS 账户的用户授予权限，无论您是否控制这些账户。

身份提供者访问:向受信任的外部系统验证的用户授予权限。 AWS 支持两种联合身份:
- 基于 Web 的身份，例如 Facebook、Goolge-IAM 支持通过 OpenID Connect 进行融合
- SAML 2.0 身份，例如 Active Directory、LDAP。

要了解角色是什么，您需要阅读它的用例，我不想重新发明轮子，因此请阅读以下 AWS 文档:
https://aws.amazon.com/blogs/security/how-to-use-a-single-iam-user-to-easily-access-all-your-accounts-by-using-the-aws-cli/
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html
希望能帮助到你。