AWS IAM可以用于控制自定义应用程序的访问吗?我严重依赖IAM来控制对AWS资源的访问。我有一个自定义的Python应用程序,我想扩展它与IAM一起工作,但我找不到任何人对此的引用。
我也考虑过同样的事情,我认为这在理论上是可能的。主要问题是IAM中没有可用的调用来确定是否允许特定的调用(SimulateCustomPolicy可能有效,但这似乎不是它的目的,所以我不确定它是否具有处理高容量的吞吐量)。
因此,您必须为这些自定义调用编写自己的IAM策略评估器。我不认为这本质上是一件坏事,因为这也是你必须为任何其他基于政策的系统构建的东西。IAM政策格式似乎足够合理,可以使用。
我想简短的答案是,是的,这是可能的,需要一些工作。如果你这样做了,请开源代码,这样我们其他人就可以使用它。
管理用户、创建角色和组的唯一方法是拥有管理员访问权限。超级用户可以做任何事情,但不能。
您可以创建一个具有要授予的所有权限的组,并创建一个附加了所创建组的策略的用户。创建一个严格只允许编程访问的用户,这样应用程序就可以通过AWS CLI的访问密钥ID和安全密钥进行连接。
通常,IAM可用于创建和管理AWS用户和组,以及允许和拒绝他们访问AWS资源的权限。如果您的Python应用程序以某种方式消耗或连接到任何AWS资源(如S3),那么您可能需要对此进行研究。
将本地python应用程序与aws 连接
Python应用程序可以上传到S3存储桶中。该应用程序运行在公司内部数据中心内的服务器上。本教程的重点是与AWS的连接。
考虑将API网关放在Python应用程序的路由前面。
然后您可以使用IAM控制访问。