Amazon web services IAM-AWS中角色标识的目的

Linux虚拟机的本地管理，我们创建用户、组等身份，并为组身份分配策略。我们不考虑角色认同

---

在AWS云中，除了创建用户和组标识

我们还创建角色标识，使用权限策略确定标识在AWS中可以做什么和不能做什么

例如，角色可以是服务角色（EC2->S3）或简单角色

---

---

在AWS中，角色标识实现了哪些用户和组标识没有实现的功能？

概述

随着世界各地的组织制定新的安全策略，旨在最大限度地降低风险和公司风险。系统管理员必须选择参与与凭据管理相关的更复杂的管理任务。AWS IAM角色是一种新工具，管理员可以使用它来减少与密码/密钥管理相关的管理开销。角色可以看作是用户/组权限的扩展

AWS IAM角色

角色允许资源（如EC2）承担权限并访问资源，而无需在源代码中存储访问密钥。此外，角色还会自动旋转钥匙，以限制钥匙受损时的曝光

内部部署

---

许多组织正在转向凭证管理解决方案。企业凭证管理软件通常允许强制用户签入/签出密码/密钥，在签入时更改密码/密钥，防止用户保留密码。管理员还可以创建自定义策略来管理密钥/密码管理的所有方面。一个例子就是拥有这些角色。

我认为角色的要点是，您可以让资源承担角色，而不必维护用户名/密码或KeyIds/SecretKeys。例如，您没有在源代码中保守秘密，而是将EC2添加到一个角色中，并且它自动拥有正确的权限。它更安全，而且按键会自动旋转。这样，如果有人掌握了你的源代码，他们就不会同时获得密钥。@DmitriSandler为什么我们没有必要让资源在本地linux环境中扮演角色？本地环境可以有类似的环境，如efs（/usr）、ebs（/sbin）等。@overexchange的可能重复，一般来说，本地环境相当单一（请原谅过度使用的术语）。这通常意味着虚拟机的寿命更长，并且密码/密钥不会以极高的速率旋转。您可以使用Ansible/Puppet/Chief之类的工具来维护虚拟机集群中的配置，并且很少（相对地）更改它。我将角色视为“下一代”或“高级”团队。我不完全清楚你所说的“prem上的EFS（/usr）和EBS（/sbin）”是什么意思。如果您能解释并可能给我一个更具体的例子，我可以尝试进一步帮助您。@overexchange，我的观点是IAM角色是AWS自动化密钥/密码管理任务的方式，以尝试改进和简化您的安全实践。这回答了你的问题吗？