如何解决有关AWS IAM服务的查询
最近开始了解AWS IAM角色,组,角色和权限。
我了解到,将向组添加一些权限,无论用户被添加到该组中的谁,都将有权访问该组中提供的那些特定AWS服务。其中“角色”用于提供从一项服务到另一项服务的访问。 (说Lambda想要访问CloudWatch)。
我的查询是:假设组(例如“ dev”)仅添加了2个权限策略(例如S3FullAccess,LambdaFullAccess) 和为Lambda服务创建的角色(具有权限策略“ cloudwatchFullAccess”),那么'dev'组中的用户是否可以访问'cloudwatch'服务?
编辑: 另一个查询:我不了解我们如何将用户/组映射到特定角色?是否每个用户/组都可以访问角色(假设角色中提到的那些服务的组中已经添加了权限策略)?请也清除我
解决方法
角色的权限仅由承担角色的principal(IAM用户/ IAM角色/ AWS服务)所允许。如果您的用户有权承担并担任该IAM角色,则可以,他们将拥有这些权限。
但是,基于他们拥有的策略,他们不能承担角色,但是Lambda(假设它已制定了信任策略)可以承担相关的IAM角色。
这意味着Lambda可以执行任何CloudWatch交互,这将允许开发人员组中的用户在Lambda函数中添加与CloudWatch交互的代码,然后在触发Lambda函数时查看其输出。
但是,他们将无法在控制台中看到CloudWatch界面,也无法在AWS CLI上直接与其交互。
要解释用户,组和角色之间的区别:
- IAM用户是您可以通过控制台或CLI直接与之交互的实体。它需要凭据才能执行这些交互,并从策略获得其权限。通常建议不要将它们用于驻留在AWS中的应用程序。
- IAM组是对相似的IAM用户进行分组的实体,为他们提供相同的权限。这使层次结构易于维护。没有实体可以成为组,这是对IAM用户的分配。
- IAM角色与用户相似,因为它可以与控制台或CLI进行交互。但是,要做到这一点,必须必须,它将为假定该实体的实体提供临时证书。承担角色的AWS服务为您管理这些临时凭证。
要让用户承担角色,需要准备两件事。该角色将需要具有一个信任策略,以使IAM用户(或帐户)的主体能够承担该角色。此外,用户需要具有对IAM角色资源执行sts:AssumeRole操作的权限。
有关此问题的更多信息,请参见Granting a User Permissions to Switch Roles 文档。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。