超级会员免费看
AWS身份和访问管理:权限、凭证与策略的全面解析
1. 委托(Delegation)
委托是指授予另一个AWS账户中的用户访问您AWS账户中资源的权限。这涉及在两个AWS账户之间建立信任关系,其中信任账户拥有资源,而受信任账户包含需要访问资源的用户。受信任和信任账户可以是以下任何一种情况:
- 同一账户
- 均由您(组织)控制的两个账户
- 由不同组织拥有的两个账户
要进行委托,您首先需要创建一个具有两个策略的IAM角色:权限策略和信任策略。权限策略负责执行AWS资源上的操作所需的权限,而信任策略包含允许其用户承担该角色的受信任账户的信息。角色的信任策略不能将通配符(*)作为主体。信任账户中角色的信任策略是权限的一半,另一半是附加到受信任账户中用户的权限策略,该策略允许该用户切换或承担该角色。承担角色的用户会暂时放弃自己的权限,转而承担该角色的权限。当用户停止使用该角色或退出时,原始用户权限将恢复。一个额外的参数外部ID有助于确保非同一组织控制的账户之间安全地使用角色。
2. 临时安全凭证(Temporary security credentials)
当您需要创建临时安全凭证而不是持久的长期安全凭证时,可以使用AWS安全令牌服务(STS)为用户创建临时安全凭证以访问您的AWS资源。AWS建议使用临时凭证,因为它们更安全且由AWS管理。临时凭证在涉及身份联合、委托、跨账户访问和IAM角色的场景中非常有用。这些凭证与为IAM用户创建的访问密钥凭证几乎相似,但有以下几点不同:
- 有效期短 :临时安全凭证的有效期较短,您可以将其配置为最短15分钟,最长36小时(在配置自定义身份代理的
订阅专栏 解锁全文
扫一扫
938
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
