Jaký je v AWS rozdíl mezi profilem role a profilu?


Odpověď 1:

Amazon EC2 používá profil instance jako kontejner pro roli IAM. Když vytvoříte roli IAM pomocí konzoly, konzola automaticky vytvoří profil instance a dá jí stejný název jako role, které odpovídá. Pokud k vytvoření role použijete rozhraní AWS CLI, API nebo AWS SDK, vytvoříte profil role a instance jako samostatné akce a můžete jim dát různá jména. Chcete-li spustit instanci s rolí IAM, zadejte název jejího profilu instance. Když spustíte instanci pomocí konzoly Amazon EC2, můžete vybrat roli, která bude k instanci přiřazena; zobrazený seznam je však ve skutečnosti seznam názvů profilů instance.


Odpověď 2:

Zde jsou klíčové vlastnosti AWS IAM:

  • AWS Identity and Access Management (IAM) je webová služba pro bezpečné řízení přístupu k prostředkům AWS. Umožňuje vám vytvářet a řídit služby pro ověřování uživatelů nebo omezovat přístup k určité sadě uživatelů na vašich prostředcích AWS.

Jaké jsou součásti v IAM?

Co je uživatel IAM?

  • S IAM můžete bezpečně spravovat přístup ke službám AWS. Můžete si vytvořit uživatele IAM, když bude ve vaší společnosti nový zaměstnanec.

Co je role?

  • Role IAM je sada oprávnění, která definují, jaké akce jsou povoleny a zamítnuty entitou v AWS konzoli. Je to podobné jako u uživatele. Role v IAM může být přístupná libovolnou entitou (jednotlivec nebo služba AWS).

Pro lepší pochopení zvažte příklad role IAM:

Co je to profil instance?

Protože uživatel IAM specifikuje osobu, profil instance určuje instance EC2.

Výpočtová služba instance EC2 pracuje pod profilem instance a definuje „WHO“ instance.

Při použití konzoly pro správu AWS, když je vytvořena role IAM pro instanci EC2 a je vytvořen profil instance EC2.

Doufám, že vám to pomůže pochopit. :)

Pokud se chcete dozvědět více, doporučujeme vám vyzkoušet toto video:

Chcete-li získat hlubší pochopení těchto konceptů, podívejte se na školení magisterského programu Cloud Architect (AWS & Azure) | Zjednodušeně.


Odpověď 3:

Role je kolekce oprávnění (prostřednictvím zásad), která je připojena k uživateli IAM k udělení / zrušení přístupových práv k tomuto uživateli. Profil instance je druh obalu kolem role, který umožňuje připojení role k instanci. Pokud instance potřebuje oprávnění udělená rolí, jsou udělována (dočasně, jak tomu rozumím) prostřednictvím profilu instance. Pravděpodobně nesprávně považuji profil instance za „továrnu rolí“, která je připojena k instanci.

Stručně řečeno, není tu žádný praktický rozdíl. Pokud má uživatel roli „A“ a instance má profil instance připojený k „A“, mohou tyto dva principy přistupovat ke stejným prostředkům stejným způsobem.


Odpověď 4:

Existují dvě klíčové části jakéhokoli autentizačního systému, nejen IAM:

  • Kdo jsem? Co mohu dělat?

Když vytvoříte uživatele IAM, tyto dvě otázky jsou smíchány do jediného principálu: uživatel IAM má obě vlastnosti. Má přihlašovací údaje, ve kterých může být někdo „uživatelem“, a má připojená oprávnění, která umožňují uživateli provádět akce.

Role jsou jednoduše „co mohu dělat?“

Poskytují mechanismus pro definování kolekce oprávnění. Role přiřadíte Spravované zásady a vložené zásady, abyste jí udělili oprávnění jednat. Ale to samo o sobě není konkrétní osoba nebo věc. Nedefinuje „kdo jsem?“

Role jsou navrženy tak, aby byly „převzaty“ jinými principy, které definují „kdo jsem?“, Jako jsou uživatelé, služby Amazon a instance EC2.

Profil instance naproti tomu definuje „kdo jsem?“ Stejně jako uživatel IAM představuje osobu, profil instance představuje instance EC2. Jediná oprávnění, která má profil instance EC2, je schopnost převzít roli.

Instance EC2 tedy běží pod profilem instance EC2 a definuje „kdo“ je instance. Pak „převezme“ roli IAM, která mu nakonec dá jakoukoli skutečnou moc.

Když vytvoříte roli IAM pro EC2 pomocí konzoly AWS Management Console, vytvoří se profil instance EC2 i role IAM.

Pokud však používáte AWS CLI, SDK nebo CloudFormation, budete muset explicitně definovat obě:

  • Role IAM s politikami a oprávněními a profil instance EC2 určující, jaké role může převzít