因此,用户可以按组和路径分组。如果我们有团队,为什么我们需要路径?What is the extra advantage of having paths?
我的猜测是,用户路径的使用更适合大型组织或高级用户,他们通常依赖CloudFormation和/或AWS CLI来管理其AWS资源。路径的清晰度>https://stackoverflow.com/a/46325139/13126651
我如何看待组的v/s路径。
- 可能存在适用于开发组和特定用户的
permissions(more than one) - 我们不希望
specific users使用开发组策略,但是开发组也需要一些适用于开发用户的权限 - 我会创建一个
dev path - 可以通过为路径中的用户创建使用该特定服务的策略来授予他们访问权限
- 通过这种方式,将特定的用户添加到开发路径,可以在不将他们添加到开发组的情况下授予权限
- 如果将来需要删除该开发权限,只需删除路径即可
使用路径的策略示例
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"iam:GetContextKeysForPrincipalPolicy",
"iam:SimulatePrincipalPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:user/Department/Development/*"
}
]
}
组:
IAM用户组是IAM用户的集合。用户组允许您为多个用户指定权限,这样可以更容易地管理这些用户的权限。例如,您可以有一个名为Admins的用户组,并为该用户组提供管理员通常需要的权限类型。该用户组中的任何用户都自动拥有分配给该用户组的权限。如果新用户加入您的组织并需要管理员权限,您可以通过将该用户添加到该管理员组来分配适当的权限
路径:
您可以使用单个路径,也可以嵌套多个路径作为文件夹结构。例如,您可以使用嵌套路径/didivision_bc/subdivision_yz/product_1234/engineering/来匹配您的公司组织结构。然后,您可以创建一个策略,允许该路径中的所有用户访问策略模拟器API。
关键区别
如果用户和用户组位于同一路径中,IAM不会自动将用户放入该用户组中。例如,您可以创建一个Developers用户组,并将路径指定为/didivision_bc/subdivision_yz/product_1234/engineering/。如果您创建了一个名为Bob的用户,并为其添加了相同的路径,则不会自动将Bob放入Developers用户组中。IAM不会根据用户或用户组的路径强制执行任何边界。