主页 / server / 问题 / 1066180
Accepted
spinkus
Asked: 2021-06-10 06:28:10 +0800 CST

AWS IAM 角色:究竟什么是可信实体?

  • 772

我有一个附加到 EC2 实例的 LaunchConfiguration 的角色,它赋予 EC2 实例权限来执行某些操作,例如 Cloudwatch 日志(上下文对问题并不重要)。在 Cloudformation 中,角色如下所示:

    Type: 'AWS::IAM::Role'
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
        - Effect: Allow
          Principal:
            Service: 'ec2.amazonaws.com'
          Action: 'sts:AssumeRole'
      Policies: ...

如果我在 AWS 控制台中查看角色,在“信任关系”下会显示“受信任的实体:身份提供商 ec2.amazonaws.com”

在此处输入图像描述

我假设 CloudformationAssumeRolePolicyDocument.Principal.Service映射到控制台中的“受信任实体”(顺便说一句,这是一种奇怪的命名方式,因为我将“主体”读作 IAM 中的不同含义,但无论如何......)。我正在使我的大脑紧张,试图拼凑正在发生的事情。我的问题是:

  1. IAM“可信实体”到底是什么?
  2. 实体“ec2.amazonaws.com”如何“担任角色”?服务'ec2.amazonaws.com'的概念假设卷只是不点击我。
  3. 实体“ec2.amazonaws.com”在什么意义上是“提供身份”?
  4. 我在哪里可以找到这些所谓的受信任实体的完整列表?
amazon-web-services amazon-iam

1 个回答

  1. Best Answer
    1. 一个受信任的实体是哪个服务可以承担任何给定的角色。如果您使 EC2 成为受信任的实体,则您不能代入使用权限的角色,lambda 不能代入该角色,只能代入一个 EC2 实例。AWS 中的大多数服务都通过扮演角色获得权限。许多服务可以为您自动配置这一点,这在人们学习 AWS 时很常见。当您在安全环境中工作时,设置角色和权限变得相当重要。例如,如果您授予 EC2 一个具有管理员权限的角色并且有人破坏了该实例,那么他们实际上对您的 AWS 账户拥有管理员权限,这就是您授予所有资源/角色最少权限的原因。
    2. 当您配置像 EC2 实例或 Lambda 函数(等)这样的资源时,您告诉它要承担什么角色。该 EC2 实例/函数/等然后具有与角色关联的权限。
    3. 这仅意味着允许 EC2 实例担任该角色。当 EC2 实例启动时,它会识别它想要承担的角色。IAM 验证允许该角色担任该角色并且允许该实例启动。
    4. 这里有一个 AWS 服务委托人列表。当您在控制台中点击“创建角色”时,您会得到一个受信任实体的列表。当我需要将一个放入我的 CloudFormation 时,我只需单击它,然后从 json 复制并粘贴它。

    AssumeRolePolicyDocument 指定谁可以担任该角色。我怀疑您可以指定多个实体可以承担一个角色,但实际上我为每个服务编写一个角色。

    您可以将 IAM 角色想象成类似于人们所拥有的角色。我作为“XYZ 公司的架构师”的角色允许我进入办公室,登录系统,诸如此类。如果我扮演警察的角色,我就有额外的权利,例如进入警察局、逮捕人等。

    • 2

相关问题