对于我的一个业务流程,我想为多个应用程序创建IAM用户以访问同一资源,我想到了以下选项:
- 创建 1 个 IAM 用户,并在业务中的应用程序中使用这些凭证
- 为每个应用程序创建单个 IAM 用户并使用相应的凭证
我浏览了 https://aws.amazon.com/iam/faqs/,它提到IAM用户可以是应用程序或系统。
我知道 1 有一个优点,它简化了流程,只需一个 IAM 用户即可管理。
但 2 使应用程序彼此独立,并提供对凭据的细粒度控制。
在这种情况下,创建 IAM 时遵循的最佳实践是什么,为什么?
通常,AWS 更喜欢创建单个 IAM 用户,以便于管理和审计。您还可以撤销对特定应用的访问权限,而不会影响其他系统用户。请参阅 IAM 最佳实践。
我还引用了 AWS 安全最佳实践白皮书。
我们强烈建议不要使用共享用户标识,其中 多个实体共享相同的凭据。