IAM роли и IAM политики — это основные компоненты управления доступом в AWS, но они решают разные задачи в архитектуре безопасности.
IAM роли нужны, чтобы выдать разрешения AWS сервисам, а не отдельным пользователям. Роли позволяют сервисам общаться между собой, давая одному AWS сервису доступ к ресурсам другого.
AssumeRoleIAM политики — это документы с разрешениями, которые определяют, какие действия разрешены или запрещены над конкретными AWS ресурсами. Обычно их прикрепляют к пользователям, группам или ролям, чтобы контролировать доступ.
| Аспект | Роли | Политики |
|---|---|---|
| Назначение | Разрешают доступ между сервисами | Определяют конкретные разрешения |
| Назначаются | AWS сервисам | Пользователям, группам и ролям |
| Используются для | Взаимодействия между сервисами | Контроля доступа пользователей и групп |
Когда ты прикрепляешь IAM роль к EC2 инстансу с политикой доступа к S3, сервис EC2 получает временные credentials для работы с S3 бакетами без хранения постоянных access keys на инстансе.
Короче говоря, думай о ролях как о контейнерах, которые могут принять на себя сервисы, а о политиках как о наборе разрешений, определяющих, какие действия можно выполнять над какими ресурсами.
IAM Policies можно присоединять только к IAM Roles и нельзя напрямую присоединять к отдельным пользователям или группам.
Новый — ещё не проверен сообществом
Вы