В чём отличие между Service Role и SAML Federated Role, и как их обычно используют в AWS?

Service Role

Service Role — это роль для AWS-сервисов и приложений, чтобы они могли выполнять свои операции. Права доступа зависят полностью от IAM-политик, которые прикреплены к этой роли.

• Используется для автоматизации, Lambda-функций, EC2-инстансов и других AWS-сервисов
• Позволяет сервисам получать доступ к другим AWS-ресурсам на основе прикреплённых политик
• Пример: создание service role для автоматизированного workflow, чтобы получить доступ к S3 или DynamoDB

Federated Role

Federated Role — это роль для доступа пользователей к AWS-ресурсам через внешних поставщиков удостоверений. Она позволяет пользователям аутентифицироваться, используя существующие корпоративные учётные данные.

• Используется для доступа реальных людей к AWS через федерацию удостоверений
• Интегрируется с внешними системами вроде Active Directory (AD) или SAML-провайдеров
• Пример: создание federated role для офисных сотрудников, где создаётся AD-группа и в неё добавляются пользователи для управления их доступом к AWS

Ключевые отличия

Резюме

Основное отличие в том, кто или что использует роль. Service roles дают права AWS-сервисам для автоматизированных задач, а federated roles позволяют сотрудникам получать доступ к AWS, используя корпоративные учётные данные через провайдеры удостоверений вроде Active Directory.