来自 AWS 文档:
When to Create an IAM User (Instead of a Role)
...
You want to use the command-line interface (CLI) to work with AWS.
When to Create an IAM Role (Instead of a User)
- You're creating an application that runs on an Amazon Elastic Compute Cloud (Amazon EC2) instance and that application makes requests to AWS.
- You're creating an app that runs on a mobile phone and that makes requests to AWS.
- Users in your company are authenticated in your corporate network and want to be able to use AWS without having to sign in again—that is, you want to allow users to federate into AWS.
但似乎公司大量使用角色来处理所有事情:
- 通过创建具有特定策略的角色并创建要应用于组的自定义策略来为组的角色。
- 代入角色以使用 CLI。
- 切换角色以使用不同的帐户。
这是过度的还是真正的基于工作的解决方案?
这是过度还是真正的基于工作的解决方案?
根据我自己使用 AWS 的经验,大量使用角色是一种真正的基于工作的解决方案,因为在我的公司中,我们仅使用角色向用户授予访问权限(是的,我们在您的 AWS 环境中注册了 0 个用户(。我将列出我们选择这种方式的原因:
- 我们正在使用 AWS Control Tower。
此服务使至少拥有 3 个 AWS 账户的 AWS 组织能够管理您的组织。我们必须为每个AWS账户创建一个用户,这将是一团糟。此外,AWS Control Tower 还支持 AWS 单点登录。
- 我们正在使用 AWS 单点登录。
此服务将多个 AWS 账户与多个角色与多个用户相关联。描述:
AWS单点登录 (SSO( 是一项云 SSO 服务,可让您轻松集中管理对多个 AWS 账户和业务应用程序的 SSO 访问。只需单击几下,即可启用高度可用的 SSO 服务,而无需运营自己的 SSO 基础结构的前期投资和持续维护成本。借助 AWS SSO,您可以轻松集中管理对 AWS 组织中所有账户的 SSO 访问和用户权限。AWS SSO 还包括与许多业务应用程序(如 Salesforce、Box 和 Office 365(的内置 SAML 集成。此外,通过使用 AWS SSO 应用程序配置向导,您可以创建安全断言标记语言 (SAML( 2.0 集成,并将 SSO 访问权限扩展到任何启用了 SAML 的应用程序。您的用户只需使用他们在 AWS SSO 中配置的凭证登录用户门户,或使用其现有的企业凭证即可从一个位置访问所有分配的账户和应用程序。
请查看此服务提供的一些功能。使用角色而不是用户有很多好处。在我看来,借助 AWS SSO,AWS 本身促进了角色的使用。
我发现的唯一缺点是,每次我需要使用 AWS CLI 时,我都需要访问 AWS SSO 门户,复制凭证并粘贴到我的终端中,因为凭证会在一段时间后过期。但最终,与此过程提供的安全性相比,此缺点很小 - 如果我的计算机被盗,由于凭证过期,无法访问 AWS CLI。