您可以使用 IAM 角色执行哪些您无法使用 IAM 组执行的操作？

Question

我已阅读有关 IAM 角色和 IAM 组的文档，但我遗漏了一些简单的东西：我不明白你可以用 IAM 角色做什么，而你不能用 IAM 组做什么。

换句话说，考虑这些替代方案：

• 使用 IAM 组，我授予组执行某些操作的权限，然后当我希望用户能够执行这些操作时，我授予他们该组的成员资格
• 使用 IAM 角色，我授予角色执行某些操作的权限，然后当我希望用户能够执行这些操作时，我授予他们担任该角色的权限

第二种方法可以实现，第一种方法不能实现的具体是什么？

Answer 1

• IAM 用户 获得一组用于身份验证的凭据。它可以被分配权限。它被人们或应用程序用来调用 AWS 服务。
• IAM 组 是 IAM 用户的集合。分配给 IAM 组的权限将适用于该组内的所有 IAM 用户。
• IAM 角色 具有一组权限，但没有凭据。通过让 IAM 用户担任该角色来使用它，然后该角色提供一组可用于访问服务的临时凭证。

例如：

• User1 是有权启动 Amazon E2 实例的 IAM 用户。他们可以使用他们的凭证向 AWS 进行身份验证并请求启动一个实例。但是，他们无权终止 EC2 实例。
• Admin-Role 是一个 IAM 角色，有权终止 EC2 实例。
• User1 在 Admin-Role 上调用 AssumeRole()。如果他们有权执行此操作，他们将收到一组临时凭据。
• User1 然后使用这些凭据调用TerminateInstances()。在此过程中，他们使用临时凭据而不是他们自己的凭据来发送请求。

同样：

• Lambda1 是一个 AWS Lambda 函数
• Lambda-Role 是与 Lambda1 函数关联的 IAM 角色。该角色已被授予访问 Amazon S3 的权限。
• 当使用Lambda1 函数时，Lambda 服务会自动假定Lambda-Role 并将这些凭据提供给 Lambda 函数，以便它可以调用 S3。

请注意，在第二个示例中，Lambda 函数本身没有凭证。相反，AWS 服务代表其代入角色并提供凭证。这与将 IAM 角色分配给 Amazon EC2 实例的方式相同。

另外，请注意，假设 IAM 角色实际上可以提供最初可用的更多权限。 User1 可以担任角色以获得终止实例的权限，而他们自己不允许这样做。因此，控制谁 可以调用AssumeRole 或使用PassRole（用于将IAM 角色分配给EC2 和Lambda 等服务）非常重要，否则他们可能会获得更多权限你希望他们拥有。