IAM角色用例

有两种使用角色的方法：

• IAM控制台：当IAM用户在IAM控制台中工作并想要使用角色时，他们将临时访问角色的权限。 IAM用户放弃其原始权限并获得角色的权限。 IAM用户退出角色后，将还原其原始权限。
• 程序访问： AWS服务(例如Amazon EC2实例)可以通过使用对AWS的程序请求来请求临时安全凭证来使用角色。

可以通过以下方式使用IAM角色：

• IAM用户： IAM角色用于向您的IAM用户授予访问您自己或不同帐户中的AWS资源的权限。 IAM用户可以使用IAM控制台使用附加到角色的权限。角色还可以防止意外访问敏感的AWS资源。
• 应用程序和服务：您可以通过调用AssumeRole API函数来授予与角色相关的权限访问应用程序和服务。 AssumeRole函数返回与角色关联的临时安全凭证。应用程序和服务只能执行角色允许的那些动作。应用程序无法以控制台中IAM用户的方式退出角色，而是停止使用临时凭证并恢复其原始凭证。
• 联合用户：联合用户可以使用身份提供者提供的临时凭据登录。 AWS为用户提供了IDP(身份提供商)和与该角色相关的临时凭证。凭据将权限授予用户访问权限。

以下是角色的情况：

• 在一个AWS账户中切换为IAM用户角色，以访问您拥有的另一个账户中的资源。
  • 您可以将权限授予您的IAM用户，以在您的AWS账户或其他账户中切换角色。例如，您拥有对您的组织非常重要的Amazon EC2实例。可以直接向角色授予角色，而不是直接授予用户终止实例的权限，管理员可以在需要终止实例时切换到该角色。
  • 您必须授予用户权限以明确承担该角色。
  • 可以将多因素身份验证角色添加到角色，以便只有使用MFA登录的用户才能使用该角色。
  • 角色可防止对敏感资源进行意外更改，尤其是将它们与审核结合使用时，以便仅在需要时才能使用角色。
  • 一个帐户中的IAM用户可以切换到相同或不同帐户中的角色。使用角色，用户可以访问角色允许的资源。当用户切换到角色时，其原始权限将被删除。如果用户退出角色，则将还原其原始权限。
• 提供对AWS服务的访问
  • AWS服务使用角色来访问AWS资源。
  • 每个服务在使用角色以及如何将角色分配给服务方面都不同。
  • 假设运行您的应用程序的AWS服务(例如Amazon EC2实例)想要向AWS资源(例如Amazon S3存储桶)发出请求，则该服务必须具有安全性凭证才能访问资源。如果将安全凭据直接嵌入到实例中，然后将凭据分发到多个实例会带来安全风险。为了克服这些问题，您可以创建一个分配给Amazon EC2实例的角色，该角色授予访问资源的权限。
• 提供对外部认证用户的访问。有时，用户在AWS之外具有身份，例如在公司目录中。如果此类用户想使用AWS资源，那么他们应该知道安全凭证。在这种情况下，我们可以使用角色来指定第三方身份提供者(IDP)的权限。
  • 基于SAML的联合身份验证SAML 2.0(安全断言标记语言2.0)是许多身份提供程序使用的开放框架。 SAML为用户提供了到AWS管理控制台的联合单点登录，以便用户可以登录到AWS管理控制台。基于SAML的联盟如何工作
  • Web身份联合身份验证假设您正在创建一个移动应用程序，该应用程序可以访问AWS资源(例如在移动设备上运行的游戏)，但是该信息是使用Amazon S3和DynamoDB存储的。创建此类应用程序时，您需要向必须使用AWS访问密钥签名的AWS服务发出请求。但是，建议不要使用长期AWS凭证，甚至不要使用加密形式。应用程序必须请求临时安全凭据，这些凭据在需要时使用Web身份联合会动态创建。这些临时安全凭证将映射到具有应用程序执行任务所需权限的角色。使用网络身份联盟，用户不需要任何自定义登录代码或用户身份。用户可以使用外部身份提供商登录，例如使用Amazon，Facebook，Google或其他OpenID登录。登录后，用户获得身份验证令牌，并且他们交换身份验证令牌以接收临时安全凭证。
• 提供对第三方的访问权限当第三方想要访问AWS资源时，您可以使用角色将访问权限委派给他们。 IAM角色授予这些第三方访问AWS资源的权限，而无需共享任何安全凭证。第三方提供以下信息来创建角色：
  • 第三方提供了包含要使用您的角色的IAM用户的帐户ID。在定义角色的信任策略时，需要将AWS账户ID指定为主体。
  • 第三方的外部ID用于与角色关联。您可以指定外部ID来定义角色的信任策略。
  • 第三方使用该权限来访问AWS资源。权限与定义信任策略时所扮演的角色相关联。该策略定义了他们可以采取的行动以及可以使用的资源。