Что такое роли в AWS и чем они отличаются от пользователей?

Определение

Роли — это объекты идентификации AWS, которые предоставляют разрешения сущностям, которым ты доверяешь в своей среде AWS. Они позволяют получать доступ к ресурсам AWS без необходимости использовать логин и пароль пользователя.

Ключевые характеристики

• Не нужны учетные данные – В отличие от пользователей, роли не требуют логина или пароля
• Временный доступ – Роли предоставляют временные учетные данные безопасности, которые истекают
• Доступ между аккаунтами – Роли могут предоставлять разрешения пользователям в других аккаунтах AWS
• Доступ для сервисов – Роли могут использоваться сервисами AWS, такими как EC2, Lambda и RDS

Основные случаи использования

• Доступ между аккаунтами – Позволить доверенным сущностям из разных аккаунтов AWS получать доступ к твоим ресурсам
• Разрешения для сервисов – Позволить сервисам AWS выполнять действия от твоего имени
• Федеративный доступ – Поддержка внешних провайдеров идентификации для аутентификации
• Делегирование – Временно предоставлять разрешения без создания постоянных учётных записей пользователей

Как работают роли

Когда сущность принимает роль, AWS генерирует временные учетные данные (AccessKeyId, SecretAccessKey и SessionToken), которые истекают через заданный промежуток времени. Такой подход повышает безопасность, исключая необходимость управлять долгоживущими учетными данными.

Роли vs. Пользователи

Лучшая практика

Роли — это предпочтительный метод предоставления разрешений в современных архитектурах AWS, потому что они обеспечивают повышенную безопасность благодаря временным учетным данным и снижают накладные расходы на управление учетными данными.