amazon-web-services - 卓:扮演还是不扮演角色?
问题描述
来自AWS 文档:
When to Create an IAM User (Instead of a Role)
...
You want to use the command-line interface (CLI) to work with AWS.
When to Create an IAM Role (Instead of a User)
- You're creating an application that runs on an Amazon Elastic Compute Cloud (Amazon EC2) instance and that application makes requests to AWS.
- You're creating an app that runs on a mobile phone and that makes requests to AWS.
- Users in your company are authenticated in your corporate network and want to be able to use AWS without having to sign in again—that is, you want to allow users to federate into AWS.
但似乎公司在所有事情上都大量使用角色:
- 通过创建具有特定策略的角色并创建自定义策略以应用于组来为组提供角色。
- 担任使用 CLI 的角色。
- 切换角色以使用不同的帐户。
那是过度的还是基于实际工作的解决方案?
解决方案
那是过度的还是基于实际工作的解决方案?
根据我自己在 AWS 方面的经验,大量使用角色是一种基于实际工作的解决方案,因为在我的公司中,我们仅使用角色来授予用户访问权限(是的,我们在您的 AWS 环境中注册了 0 个用户)。我将列出我们选择这种方式的原因:
- 我们正在使用AWS Control Tower。
此服务使拥有至少 3 个 AWS 账户的 AWS Organizations 能够管理您的组织。我们必须为每个 AWS 账户创建一个用户,这将是一团糟。此外,AWS Control Tower 支持AWS Single Sign-On。
- 我们正在使用AWS Single Sign-On。
该服务将多个 AWS 账户与多个角色与多个用户相关联。描述:
AWS Single Sign-On (SSO) 是一种云 SSO 服务,可轻松集中管理对多个 AWS 账户和业务应用程序的 SSO 访问。只需单击几下,您就可以启用高度可用的 SSO 服务,而无需前期投资和运营您自己的 SSO 基础架构的持续维护成本。借助 AWS SSO,您可以轻松地集中管理对 AWS Organizations 中所有账户的 SSO 访问和用户权限。AWS SSO 还包括与许多业务应用程序的内置 SAML 集成,例如 Salesforce、Box 和 Office 365。此外,通过使用 AWS SSO 应用程序配置向导,您可以创建安全断言标记语言 (SAML) 2.0 集成并扩展 SSO访问任何支持 SAML 的应用程序。
请查看此服务提供的一些功能。使用角色而不是用户有很多好处。在我看来,通过 AWS SSO,AWS 本身促进了角色的使用。
我发现的唯一缺点是每次我需要使用 AWS CLI 时,我都需要访问 AWS SSO 门户,复制凭证并粘贴到我的终端中,因为凭证会在一段时间后过期。但最后,与此过程提供的安全性相比,这个缺点很小 - 如果我的计算机被盗,AWS CLI 由于凭证过期而无法访问。
推荐阅读
- sql - 如果存在 sql SELECT
- xcode - 介绍滑块颤振图像未出现
- amazon-web-services - 如何在 cloudtrail 中创建“DecodeAuthorizationMessage”日志?
- swift - Firebase 身份验证创建用户但不将其信息添加到数据库
- android - 如何使用 setPositivebutton
- r - R:使用 foreach 读取 csv 数据并对数据应用函数并导出回 csv
- python - MySQLdb 查询命令,未获取正确的数据库(python)
- javascript - 从嵌入式 React 组件添加到 WooCommerce 中的购物车
- selenium - 如何使用 selenium 选择 phpmyadmin sql 查询框并向其发送值?
- java - 如何覆盖方法但仍使用 Java 中的变量?