Amazon web services 关于AWS IAM服务的查询_Amazon Web Services_Amazon Iam

Amazon web services 关于AWS IAM服务的查询

amazon-web-services

Amazon web services 关于AWS IAM服务的查询,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,最近开始了解AWS IAM角色、组、角色和权限我知道，组将被添加一些权限，无论用户添加到该组中的是谁，都将有权访问该组中提供的特定AWS服务。其中as角色用于提供从一个服务到另一个服务的访问。（假设Lambda想访问CloudWatch）我的查询是：假设组（如“dev”）只添加了2个权限策略（如S3FullAccess、LambdaFullAccess）以及为Lambda服务创建的角色（具有权限策略“cloudwatchFullAccess”），那么来自“dev”组的用户是否能够访问“cl

最近开始了解AWS IAM角色、组、角色和权限

我知道，组将被添加一些权限，无论用户添加到该组中的是谁，都将有权访问该组中提供的特定AWS服务。其中as角色用于提供从一个服务到另一个服务的访问。（假设Lambda想访问CloudWatch）

我的查询是：假设组（如“dev”）只添加了2个权限策略（如S3FullAccess、LambdaFullAccess）以及为Lambda服务创建的角色（具有权限策略“cloudwatchFullAccess”），那么来自“dev”组的用户是否能够访问“cloudwatch”服务

编辑：

另一个问题：我不明白如何将用户/组映射到特定角色？orelse是否每个用户/组都可以访问角色（假设已经在角色中提到的服务组中添加了权限策略）？请也为我清除此权限

该角色的权限仅由担任该角色的（IAM用户/IAM角色/AWS服务）允许。如果您的用户有权担任IAM角色并执行了该操作，则是的，他们将拥有这些权限

但是，根据他们拥有的策略，他们无法承担该角色，但是Lambda（假设它有一个信任策略）可以承担相关的IAM角色

这意味着Lambda可以执行任何CloudWatch交互，这将允许dev组中的用户在Lambda函数中添加与CloudWatch交互的代码，然后在触发Lambda函数时查看其输出

但是，他们无法在控制台中看到CloudWatch界面，也无法在AWS CLI上直接与之交互

要解释用户、组和角色之间的差异，请执行以下操作：

IAM用户是可以通过控制台或CLI直接与之交互的实体。它需要凭据来执行这些交互，并从策略中获得权限。通常建议不要将这些应用程序用于AWS中的应用程序
IAM组是对类似IAM用户进行分组的实体，为他们提供相同的权限。这使得层次结构易于维护。任何实体都不能成为组，这是分配给IAM用户的任务
IAM角色类似于用户，因为它可以与控制台或CLI交互。但是，要做到这一点，必须假定它，这将为假定它的实体提供临时凭证。承担此角色的AWS服务将为您管理这些临时凭据

要让用户承担这个角色，需要有两件事。该角色需要有一个信任策略，使IAM用户（或帐户）的负责人能够担任该角色。此外，用户需要有权限对IAM角色资源执行
sts:AssumeRole
操作

有关这方面的更多信息可以在文档中找到。
那么，您的意思是Lambda服务可以执行CloudWatch交互，但用户不能访问CloudWatch服务，因为“CloudWatch”权限策略未添加到“dev”组中。。？顺便说一句，我刚刚编辑了我的查询，请你也回答一下。是的，他们不会直接拥有这些权限。角色分配给获得这些权限的Lambda。关于将用户映射到角色，我已经添加了更多的细节来回答：也许您所说的是正确的，但我无法理解，因为我只有IAM的基本知识。是否有任何屏幕截图可以查看将用户映射到特定角色？顺便说一句，默认情况下，所有创建的角色都可以被任何用户访问吗？最好的方法是浏览文档以理解。没问题，如果您有进一步的问题，请告诉我，我将尝试解释。对于初学者来说，这肯定会让人困惑：）