测验 - 什么最能描述 IAM 角色？

2023-06-08 08:00:00 · 飞浪 · Christophe Limpalair

什么最能描述IAM角色？A)角色是直接应用于AWS资源（例如EC2实例）的策略。B)角色用于配置多因素身份验证。C)角色是另一个实体可以“承担”的角色。D)角色是您管理用户对AWS资源的访问的方式。

什么最能描述 IAM 角色？ A) 角色是直接应用于 AWS 资源（例如 EC2 实例）的策略。B) 角色用于配置多因素身份验证。C) 角色是另一个实体可以“承担”的角色。D) 角色是您管理用户对 AWS 资源的访问的方式。正确答案是什么？继续阅读以了解您是否答对了！

什么是 IAM 角色？

角色是另一个实体可以承担的 AWS 身份，其中实体是另一个 AWS 资源（如 EC2 实例）或甚至是 IAM 用户。AWS 资源不能直接应用权限策略。要获得权限，资源必须“承担”一个角色，然后该角色会通过策略向它们授予分配给该角色的权限。这听起来可能与 IAM 用户相似，但也存在一些差异。一个主要区别是用户应该与一个唯一的人相关联，而角色可以由任何需要它们的人或事物承担。另一个主要区别是角色没有与之关联的凭证（密码或访问密钥）。承担角色时，凭证会自动动态生成，因此您不必担心。这非常有益，特别是如果您原本必须对凭证进行硬编码。

使用案例

所有这些使得角色成为如下用例的理想选择：

提供从您的一个 AWS 资源（即 EC2 实例）到另一个 AWS 资源（即 Amazon S3）的访问。
将您一个账户中的 AWS IAM 用户访问权限授予您的另一个账户，这样他们就可以轻松地将角色切换到第二个账户，而不必通过其他用户登录。
通过身份联合向外部经过身份验证的用户（即通过移动或基于 Web 的应用程序进行身份验证的用户）授予访问权限。
提供对第三方工具的受控访问，以进行监控或类似操作。

创建 IAM 角色

要创建角色，您可以转到 AWS 控制台中的 IAM > 角色。您也可以通过 CLI 或 SDK 生成角色。

1. 选择角色类型

这决定了该角色是否可以被服务（如 EC2）使用，或者是否可以用于授予跨账户访问权限。

2. 选择政策

此步骤取决于您选择的角色类型，但如果您选择了服务角色，则是时候选择要与该角色关联的权限了。例如，如果您希望 EC2 实例承担此角色，则应该选择该角色类型。但是现在，这些 EC2 实例在承担该角色后应该具有哪些权限？您想授予对 S3 的完全访问权限吗？只读访问权限？他们是否应该有权查看您的 RDS 资源？策略可让您选择将哪些权限与角色关联。请注意， 如果您选择了“服务角色”以外的类型，则步骤 2 可能是“建立信任”。例如，如果您想允许跨账户访问，则需要提供其他账户的 ID 以及是否需要多因素身份验证。再举一个例子，如果您希望向SAML 提供商授予 Web 单点登录 (WebSSO) 访问权限，则需要在此步骤中创建或选择 SAML 提供商并设置条件。