В AWS каква е разликата между роля и профил на екземпляр?


Отговор 1:

Amazon EC2 използва потребителски профил като контейнер за ролята на IAM. Когато създавате IAM роля с помощта на конзолата, конзолата създава потребителски профил автоматично и му дава същото име като ролята, на която съответства. Ако използвате AWS CLI, API или AWS SDK за създаване на роля, вие създавате профила на ролята и екземпляра като отделни действия и можете да им дадете различни имена. За да стартирате екземпляр с роля на IAM, посочвате името на неговия потребителски профил. Когато стартирате екземпляр с помощта на конзолата Amazon EC2, можете да изберете роля, която да асоциирате с екземпляра; списъкът, който се показва, всъщност е списък с имена на потребителски профили.


Отговор 2:

Ето основните характеристики на AWS IAM:

  • AWS Identity and Access Management (IAM) е уеб услуга за сигурен контрол на достъпа до AWS ресурси. Позволява ви да създавате и контролирате услуги за удостоверяване на потребители или ограничаване на достъпа до определен набор от потребители на вашите AWS ресурси.

Какви са компонентите в IAM?

Какво е потребител на IAM?

  • С IAM можете сигурно да управлявате достъпа до AWS услуги. Можете да създадете IAM потребител, когато има нов служител във вашата корпорация.

Какво е роля?

  • Ролята на IAM е набор от разрешения, които определят какви действия са разрешени и отречени от образувание в конзолата AWS. Подобно е на потребител. Ролята в IAM може да бъде достъпна от всяко образувание (физическо лице или AWS услуга).

За по-добро разбиране, помислете за пример на ролята на IAM:

Какво е потребителски профил?

Тъй като потребител на IAM посочва човек, потребителски профил посочва случаи на EC2.

Изчислителната услуга на екземпляра EC2 работи под потребителския профил, определяйки „КОЙ“ е инстанцията.

Използване на конзола за управление на AWS, когато се създаде роля на IAM за екземпляр EC2 и се създава профил на екземпляр EC2.

Надявам се това да ви помогне да разберете. :)

Ако искате да научите повече, предлагам ви да опитате това видео:

За да придобиете по-задълбочено разбиране на тези понятия, разгледайте нашето обучение за магистърска програма в облачния архитект (AWS & Azure) | Simplilearn.


Отговор 3:

Роля е колекция от разрешения (чрез политики), която се привързва към потребител на IAM, за да предостави / отмени права за достъп до ресурса на този потребител. Профилът на екземпляра е вид обвивка около роля, която позволява да се прикачи ролята към екземпляр. Когато екземплярът се нуждае от разрешения, предоставени от ролята, те се предоставят (временно, както аз го разбирам) чрез потребителския профил на инстанцията. Аз, вероятно погрешно, смятам профила на екземпляра като „фабрика за роли“, която е прикачена към инстанцията.

Краткото е, че няма много практическа разлика. Ако потребителят има роля „A“ и екземпляр има профил на инстанция, прикачен към „A“, тези два главни директора могат да имат достъп до едни и същи ресурси по същия начин.


Отговор 4:

Има две ключови части на всяка система за удостоверяване, а не само на IAM:

  • Кой съм аз? Какво ми е разрешено да правя?

Когато създавате потребител на IAM, тези два въпроса се смесват в един главен принцип: потребителят на IAM има и двете свойства. Той има идентификационни данни, в които някой може да бъде „потребителят“, и има прикачени разрешения, които позволяват на потребителя да извършва действия.

Ролите са просто „какво мога да направя?“

Те предоставят механизъм за определяне на колекция от разрешения. Вие възлагате управляваните политики и вградените политики на ролята, за да й дадете разрешения за действие. Но тя сама по себе си не е конкретен човек или нещо. Това не определя "кой съм аз?"

Ролите са проектирани така, че да бъдат „поети“ от други принципали, които определят „кой съм аз?“, Като потребители, Amazon услуги и EC2 случаи.

Профилът на екземпляра, от друга страна, определя „кой съм аз?“ Точно както потребител на IAM представлява човек, потребителски профил представлява случаи на EC2. Единственото разрешение, което един потребителски профил на EC2 има, е силата да поеме роля.

Така че екземплярът EC2 работи под потребителския профил на EC2, определяйки „кой“ е. Тогава той „поема“ ролята на IAM, което в крайна сметка му придава каквато и да било реална сила.

Когато създадете IAM роля за EC2 с помощта на конзолата за управление на AWS, тя създава както профил на екземпляр EC2, така и роля на IAM.

Ако обаче използвате AWS CLI, SDK или CloudFormation, ще трябва изрично да дефинирате и двете:

  • Роля на IAM с политики и разрешения и профил на екземпляр от EC2, определящ кои роли може да поеме