У чым розніца паміж роляй і профілем асобніка ў AWS?


адказ 1:

Amazon EC2 выкарыстоўвае профіль асобніка ў якасці кантэйнера для ролі IAM. Калі вы ствараеце ролю IAM з дапамогай кансолі, кансоль аўтаматычна стварае профіль экзэмпляра і прысвоіць яму імя ролі. Калі вы выкарыстоўваеце CLS, API або AWS SDK для стварэння ролі, стварыце ролю і профіль экзэмпляра ў якасці асобных дзеянняў і можаце даць ім розныя імёны. Каб пачаць экземпляр з роляй IAM, увядзіце імя вашага профілю экземпляра. Пры запуску асобніка з кансолі Amazon EC2 вы можаце выбраць ролю, прызначаную для асобніка. Аднак у спісе адлюстроўваецца спіс назваў профіляў асобнікаў.


адказ 2:

Вось асноўныя асаблівасці AWS IAM:

  • AWS Identity and Access Access (IAM) - гэта вэб-сэрвіс для надзейнага кантролю доступу да рэсурсаў AWS. З дапамогай гэтай службы вы можаце ствараць і кантраляваць паслугі аўтэнтыфікацыі карыстальнікаў альбо абмежаваць доступ да пэўнай групы карыстальнікаў на вашых рэсурсах AWS.

Якія кампаненты ў IAM?

Што такое карыстальнік IAM?

  • З дапамогай IAM вы можаце бяспечна кіраваць доступам да паслуг AWS. Вы можаце стварыць карыстальніка IAM, калі ў вашай кампаніі з'явіўся новы супрацоўнік.

Якая роля?

  • Роля IAM - гэта набор дазволаў, якія вызначаюць, якія дзеянні сутнасць дазваляе і адхіляе на кансолі AWS. Ён нагадвае карыстальніка. Ролю ў IAM можа атрымаць любая арганізацыя (фізічная асоба альбо служба AWS).

Для лепшага разумення разгледзім прыклад ролі IAM:

Што такое профіль асобніка?

У той час як карыстальнік IAM вызначае чалавека, профіль асобніка вызначае асобнік EC2.

Вылічальная служба экземпляра EC2 працуе пад профілем асобніка і вызначае, хто такі асобнік.

Пры стварэнні ролі IAM для асобніка EC2 і стварэння профілю экземпляра EC2 выкарыстоўвайце кансоль адміністравання AWS.

Я спадзяюся, што гэта дапаможа вам зразумець. :)

Калі вы хочаце даведацца больш, рэкамендуем паспрабаваць гэта відэа:

Больш падрабязную інфармацыю аб гэтых канцэпцыях можна знайсці ў падрыхтоўцы магістарскіх праграм Cloud Architect (AWS & Azure) Simplilearn.


адказ 3:

Роля - гэта збор дазволаў (праз палітыку), прызначаных карыстачу IAM для прадастаўлення / адмены правоў доступу да рэсурсаў для гэтага карыстальніка. Профіль асобніка - гэта нейкая абгортка вакол ролі, з дапамогай якой ролю можна прымацаваць да асобніка. Калі асобнік мае патрэбу ў дазволах, якія былі прадастаўлены роляй, яны прадастаўляюцца (наколькі я разумею часова) праз профіль асобніка. Я мог бы памылкова разглядаць профіль экзэмпляра як "фабрыку роляў", далучаную да асобніка.

Карацей кажучы, няма вялікай практычнай розніцы. Калі карыстальнік мае ролю "А", а асобнік мае профіль экзэмпляра, звязаны з "А", гэтыя два дырэктары могуць атрымаць доступ да тых жа рэсурсаў аднолькава.


адказ 4:

У сістэме аўтэнтыфікацыі ёсць два асноўныя кампаненты, а не толькі IAM:

  • Хто я, што я магу зрабіць?

Пры стварэнні карыстальніка IAM гэтыя два пытанні змешваюцца ў адзін прынцып: карыстальнік IAM мае абедзве ўласцівасці. Ён мае ўліковыя дадзеныя, дзе хтосьці можа быць карыстальнікам, і дазволы, якія дазваляюць карыстачу выконваць дзеянні.

Ролі проста "што я магу зрабіць?"

Яны забяспечваюць механізм вызначэння збору дазволаў. Вы прызначаеце кіраваную палітыку і палітыку ўбудовы для ролі, каб даць ім правы доступу. Але само па сабе гэта не канкрэтная асоба ці рэч. Гэта не вызначае "Хто я?"

Ролі павінны быць "пераняты" іншымі дырэктарамі, "Хто я?" Вызначце, напрыклад B. Карыстальнікі, паслугі Amazon і асобнікі EC2.

Профіль асобніка вызначае "Хто я?" Гэтак жа, як карыстальнік IAM ўяўляе чалавека, профіль асобніка ўяўляе асобнікі EC2. Адзінае дазвол, якое мае профіль асобніка EC2, - гэта паўнамоцтвы ўзяць на сябе ролю.

Такім чынам, асобнік EC2 выконваецца ў профілі асобніка EC2 і вызначае, хто такі асобнік. Затым ён прымае на сябе ролю IAM, што ў канчатковым выніку дае ўсім рэальную сілу.

Пры стварэнні ролі IAM для EC2 з дапамогай кансолі кіравання AWS ствараюцца профіль экземпляра EC2 і роля IAM.

Аднак калі вы выкарыстоўваеце AWS CLI, SDK або CloudFormation, вам трэба дакладна вызначыць абодва:

  • Роля IAM з палітыкай і дазволамі і профілем асобніка EC2, які паказвае, якія ролі ён можа ўзяць на сябе