"根帐户凭据"one_answers"IAM用户凭据"之间有什么区别?
还有一个问题:
根据描述,建议使用"IAM用户凭据",但无法使用"IAM用户名凭据"在S3中访问
你能解释一下为什么会这样吗?
您的根凭据是您注册时提供卡和账单详细信息的凭据。IAM用户帐户是您可以为AWS提供的个人服务创建的用户帐户。
假设这种情况下,你是一家产品公司的首席执行官,你注册了AWS,提供了你的邮件地址、卡和账单详细信息,你有开发人员为你工作,开发应用程序,并在AWS中部署它们。您不能将刚刚创建的AWS帐户(根凭据)共享给您的开发人员或devops,并要求他们部署应用程序。这对你来说是一个巨大的安全风险。相反,您可以创建IAM用户,附加组级策略或用户级策略,并与他们共享这些IAM帐户。集团级别和用户级别的政策限制并授权IAM个人用户使用您的用户帐户下的AWS服务。了解IAM并将其用于您的AWS帐户是非常重要的。http://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html
IAM S3访问:如果您使用所需的策略授权并分配IAM用户,它应该可以正常工作。您可以使用模拟IAM用户的策略https://policysim.aws.amazon.com/home/index.jsp(请先登录)。
希望这能帮助
来自亚马逊:
所有AWS帐户都具有根帐户凭据。这些凭据允许完全访问帐户中的所有资源。因为你不能控制根帐户凭据的权限,您应该将它们存储在安全的地方,并使用AWS身份和访问管理(IAM)用户凭证,用于与AWS的日常交互。
使用IAM,您可以安全地控制对AWS服务和AWS帐户中用户的资源。例如,如果您需要管理员级别的权限,您可以创建IAM用户,授予该用户完全访问,然后使用这些凭据与AWS。稍后,如果您需要撤销或修改您的权限,您可以删除或修改与该IAM用户关联的任何策略。
您的第二个问题仍然悬而未决:使用IAM用户凭据时无法访问任何S3资源?
使用根帐户可以做一些事情,而管理员不能做这些事情。例如,您不能创建或删除账户范围的预算,也不能在S3 bucket上启用MFA删除。