根据AWS的官方文档,IAM角色也可以附加到IAM用户,而不仅仅是服务。
将IAM角色分配给IAM用户的有效用例是什么?
直接向用户授予(允许/拒绝(IAM策略是否涵盖了所有情况?
TBH我最初的印象是IAM角色是为了授权AWS服务(这样他们就可以与其他服务交互(,因为后者无法在用户上下文中解决
如您所知,AWS角色用于AWS服务的身份验证(使用IAM策略进行授权(。相比之下,AWS IAM用户直接映射到获得登录AWS管理控制台的凭据的人类用户。
但是,当向AWS帐户之外的用户授予访问权限时(例如,跨帐户访问、AD身份验证联合会(,将需要IAM角色来承担该权限。
参考您共享的文档,获得权限的不是直接IAM用户,而是担任IAM角色(非直接IAM用户(以访问AWS资源的Active Directory用户(外部(。
IAM的最佳做法是将角色分配给其他AWS帐户的AWS用户,以便委派权限。这是为了避免在AWS帐户之间共享凭据。
我还想指出,您最初对角色授权的印象是不正确的。唯一被视为授权的IAM资源是IAM策略。
这可以在AWS关于理解IAM的文档和以下AWS培训视频中看到:使用AWS身份和访问管理的身份验证和授权(需要登录(
其他三个基本IAM资源:用户、组和角色被视为身份验证的一部分。