邯鄲網(wǎng)站建設(shè)效果注冊(cè)推廣賺錢一個(gè)80元
Identity-based policy,它關(guān)聯(lián)到特定的User/Role/Group上,指定這些主體能對(duì)哪些資源進(jìn)行怎樣的操作
Resource-based policy,它關(guān)聯(lián)到具體的AWS資源上,指定哪些主體可以對(duì)這個(gè)資源做怎樣的操作
aws受信任關(guān)系視為aws服務(wù)可以實(shí)現(xiàn)(承擔(dān)角色)您授予的權(quán)限。例如,從s3讀取存儲(chǔ)桶權(quán)限的角色,ec2是該角色中的受信任關(guān)系,則只有ec2實(shí)例可以實(shí)現(xiàn)此角色并且可以訪問(wèn)此s3存儲(chǔ)桶,aws中(如 rds / elasticsearch / amplify 等)等服務(wù)不可能承擔(dān)此角色并獲取此應(yīng)用程序的配置文件。
創(chuàng)建一個(gè)名為“my-app-role”的角色,其中包含多個(gè)策略,其中一個(gè)是s3策略,可以訪問(wèn)s3資源“configuration-for-app”并具有僅獲取它的明確權(quán)限(不刪除我,不改變它 - 只是得到它)。
應(yīng)用程序在ec2上運(yùn)行,這些服務(wù)之間的此要求中的受信任關(guān)系將是<ec2> -> <s3>,我在 ec2 上運(yùn)行的應(yīng)用程序可以假設(shè)角色(my-app-role)并訪問(wèn)(其中包含正確的策略)到 s3 并獲得配置文件。
該角色包含此策略:
{
? "Version": "2012-10-17",
? "Statement": [
? ? {
? ? ? "Effect": "Allow",
? ? ? "s3:GetObject"
? ? ? "Resource": "arn:aws:s3:::configuration-for-app/*"
? ? }
? ]
}
受信任的策略是:
?{
? "Version": "2012-10-17",
? "Statement": [
? ? {
? ? ? "Sid": "",
? ? ? "Effect": "Allow",
? ? ? "Principal": {
? ? ? ? "Service": "ec2.amazonaws.com"
? ? ? },
? ? ? "Action": "sts:AssumeRole"
? ? }
? ]
}
?
一文搞懂 AWS IAM 權(quán)限 基礎(chǔ)篇下 實(shí)戰(zhàn) - 知乎