Identity-based policy，它關(guān)聯(lián)到特定的User/Role/Group上，指定這些主體能對(duì)哪些資源進(jìn)行怎樣的操作
Resource-based policy，它關(guān)聯(lián)到具體的AWS資源上，指定哪些主體可以對(duì)這個(gè)資源做怎樣的操作

aws受信任關(guān)系視為aws服務(wù)可以實(shí)現(xiàn)（承擔(dān)角色）您授予的權(quán)限。例如，從s3讀取存儲(chǔ)桶權(quán)限的角色，ec2是該角色中的受信任關(guān)系，則只有ec2實(shí)例可以實(shí)現(xiàn)此角色并且可以訪問(wèn)此s3存儲(chǔ)桶，aws中（如 rds / elasticsearch / amplify 等）等服務(wù)不可能承擔(dān)此角色并獲取此應(yīng)用程序的配置文件。
創(chuàng)建一個(gè)名為“my-app-role”的角色，其中包含多個(gè)策略，其中一個(gè)是s3策略，可以訪問(wèn)s3資源“configuration-for-app”并具有僅獲取它的明確權(quán)限（不刪除我，不改變它 - 只是得到它）。
應(yīng)用程序在ec2上運(yùn)行，這些服務(wù)之間的此要求中的受信任關(guān)系將是<ec2> -> <s3>，我在 ec2 上運(yùn)行的應(yīng)用程序可以假設(shè)角色（my-app-role）并訪問(wèn)（其中包含正確的策略）到 s3 并獲得配置文件。
該角色包含此策略：
{
? "Version": "2012-10-17",
? "Statement": [
? ? {
? ? ? "Effect": "Allow",
? ? ? "s3:GetObject"
? ? ? "Resource": "arn:aws:s3:::configuration-for-app/*"
? ? }
? ]
}
受信任的策略是：
?{
? "Version": "2012-10-17",
? "Statement": [
? ? {
? ? ? "Sid": "",
? ? ? "Effect": "Allow",
? ? ? "Principal": {
? ? ? ? "Service": "ec2.amazonaws.com"
? ? ? },
? ? ? "Action": "sts:AssumeRole"
? ? }
? ]
}
?

一文搞懂 AWS IAM 權(quán)限 基礎(chǔ)篇下 實(shí)戰(zhàn) - 知乎