在IAM中,通过CLI或API创建IAM用户时,"路径"变量的目的/用途是什么?
IAM中的路径变量用于将相关用户和组分组为唯一的名称空间,通常用于组织目的。
来自友好的名称和路径:
如果您使用的是IAM API或AWS命令行接口(AWS CLI)来创建IAM实体,则还可以为实体提供可选的路径。您可以使用单个路径,也可以嵌套多个路径,就好像它们是文件夹结构一样。例如,您可以使用嵌套路径/division_abc/subdivision_xyz/product_1234/Engineering/与公司的组织结构相匹配。然后,您可以创建一个策略,以允许该路径中的所有用户访问策略模拟器API。要查看此策略,请参见IAM:基于用户路径访问策略模拟器API。有关如何使用路径的其他示例,请参见Iam arns。
例如,一个大型组织可能会使路径/WestRegion/AZ和/Eastregion/NY的用户。这与组织的内部部门相对应。
这是上述文档中的一些示例:
在给定帐户中称为鲍勃的IAM用户:
arn:aws:iam::123456789012:user/Bob
另一个不同的用户鲍勃,带有反映组织图表的路径:
arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bob
一个IAM组:
arn:aws:iam::123456789012:group/Developers
一个具有路径的IAM组:
arn:aws:iam::123456789012:group/division_abc/subdivision_xyz/product_A/Developer
请注意,该元数据未暴露在控制台中。我的猜测是,用户path的使用更适合大型组织或高级用户,通常会依靠云形式和/或AWS CLI来管理其AWS资源。例如,--path-prefix是aws iam list-users的参数。