Kāda ir atšķirība starp lomu un gadījuma profilu AWS?


Atbilde 1:

Amazon EC2 izmanto instanču profilu kā konteineru IAM lomai. Kad izveidojat IAM lomu, izmantojot konsoli, konsole automātiski izveido instanču profilu un piešķir tam tādu pašu nosaukumu kā lomai, kurai tā atbilst. Ja lomas izveidošanai izmantojat AWS CLI, API vai AWS SDK, jūs izveidojat lomas un instances profilu kā atsevišķas darbības, un jūs, iespējams, piešķirat viņiem dažādus nosaukumus. Lai palaistu gadījumu ar IAM lomu, jums jānorāda tā gadījuma profila nosaukums. Palaižot gadījumu, izmantojot Amazon EC2 konsoli, varat atlasīt lomu, kuru saistīt ar instanci; tomēr parādītais saraksts faktiski ir instanču profilu vārdu saraksts.


Atbilde 2:

Šeit ir AWS IAM galvenās iezīmes:

  • AWS identitātes un piekļuves pārvaldība (IAM) ir tīmekļa pakalpojums, lai droši kontrolētu piekļuvi AWS resursiem. Tas ļauj jums izveidot un kontrolēt pakalpojumus lietotāju autentificēšanai vai piekļuves ierobežošanai noteiktai lietotāju kopai no jūsu AWS resursiem.

Kādas ir IAM sastāvdaļas?

Kas ir IAM lietotājs?

  • Izmantojot IAM, varat droši pārvaldīt piekļuvi AWS pakalpojumiem.Jūs varat izveidot IAM lietotāju, kad jūsu uzņēmumā ir jauns darbinieks.

Kas ir loma?

  • IAM loma ir atļauju kopums, kas nosaka, kuras darbības entītija atļauj un liedz AWS konsolē. Tā ir līdzīga lietotājam. Lomai IAM var b piekļūt jebkura entītija (indivīds vai AWS pakalpojums).

Lai labāk izprastu, apsveriet IAM lomas piemēru:

Kas ir gadījuma profils?

Tā kā IAM lietotājs norāda personu, gadījumu profils norāda EC2 gadījumus.

EC2 instances aprēķināšanas pakalpojums darbojas saskaņā ar gadījuma profilu, definējot “PVO”, kas ir.

Izmantojot AWS pārvaldības konsoli, kad tiek izveidota IAM loma EC2 gadījumam un tiek izveidots EC2 instances profils.

Es ceru, ka tas palīdz jums saprast. :)

Ja vēlaties uzzināt vairāk, iesaku izmēģināt šo videoklipu:

Lai iegūtu dziļāku izpratni par šiem jēdzieniem, apskatiet mūsu Mākoņu arhitekta (AWS un Azure) maģistra programmas apmācību | Simplilearn.


Atbilde 3:

Loma ir atļauju kolekcija (izmantojot politikas), kas tiek piesaistīta IAM lietotājam, lai piešķirtu / atsauktu resursa piekļuves tiesības šim lietotājam. Instances profils ir sava veida aploksne ap lomu, kas ļauj lomu pievienot gadījumam. Ja gadījumam ir vajadzīgas atļaujas, ko piešķir loma, tās tiek piešķirtas (īslaicīgi, kā es to saprotu), izmantojot gadījuma profilu. Es, iespējams, nepareizi, domāju, ka gadījuma profils ir “lomas fabrika”, kas ir pievienots gadījumam.

Trūkums ir tāds, ka praktisko atšķirību nav daudz. Ja lietotājam ir loma “A” un gadījumam ir instances profils, kas piestiprināts ar “A”, šie divi direktori var piekļūt tiem pašiem resursiem vienādi.


Atbilde 4:

Jebkurai autentifikācijas sistēmai ir divas galvenās daļas, ne tikai IAM:

  • Kas es esmu? Ko man atļauts darīt?

Izveidojot IAM lietotāju, šie divi jautājumi tiek sajaukti vienā principā: IAM lietotājam ir abas īpašības. Tam ir akreditācijas dati, kuros kāds var “būt” lietotājs, un tam ir pievienotas atļaujas, kas ļauj lietotājam veikt darbības.

Lomas ir vienkārši “ko es varu darīt?”

Tie nodrošina mehānismu atļauju kolekcijas noteikšanai. Jūs lomai piešķirat Pārvaldītās politikas un iekļaujat politikas, lai tai atļautu rīkoties. Bet pats par sevi tas nav konkrēta persona vai lieta. Tas nedefinē “kas es esmu?”

Lomas ir paredzētas tā, lai tās “uzņemtos” citi principi, kas definē “kas es esmu?”, Piemēram, lietotāji, Amazon pakalpojumi un EC2 gadījumi.

Savukārt instanču profils definē “kas es esmu?” Tieši tāpat kā IAM lietotājs pārstāv personu, instances profils pārstāv EC2 gadījumus. Vienīgās EC2 instances profila atļaujas ir pilnvaras uzņemties lomu.

Tātad EC2 instance darbojas zem EC2 instances profila, definējot, kas ir šī instance. Pēc tam tā “uzņemas” IAM lomu, kas galu galā tai piešķir jebkādu reālu spēku.

Kad izveidojat IAM lomu EC2, izmantojot AWS pārvaldības konsoli, tas izveido gan EC2 gadījuma profilu, gan IAM lomu.

Tomēr, ja jūs izmantojat AWS CLI, SDK vai CloudFormation, jums būs skaidri jādefinē abi šie nosacījumi:

  • IAM loma ar politikām un atļaujām, kā arī EC2 gadījuma profils, kurā norādīts, kuras lomas tas var uzņemties