Skenario umum untuk IAM peran - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Skenario umum untuk IAM peran

Seperti kebanyakan AWS fitur, Anda biasanya memiliki dua cara untuk menggunakan peran: interaktif di IAM konsol, atau secara terprogram dengan AWS CLI, Alat untuk Windows PowerShell, atau. API

  • IAMpengguna di akun Anda menggunakan IAM konsol dapat beralih ke peran untuk sementara menggunakan izin peran di konsol. Pengguna menyerahkan izin mereka dan mengambil izin yang ditetapkan untuk peran tersebut. Saat pengguna keluar dari peran, izin asli mereka dipulihkan.

  • Aplikasi atau layanan yang ditawarkan oleh AWS (seperti AmazonEC2) dapat mengambil peran dengan meminta kredensil keamanan sementara untuk peran yang dapat digunakan untuk membuat permintaan terprogram. AWS Anda menggunakan peran dengan cara ini sehingga Anda tidak perlu berbagi atau mempertahankan kredensil keamanan jangka panjang (misalnya, dengan membuat IAM pengguna) untuk setiap entitas yang memerlukan akses ke sumber daya.

catatan

Panduan ini menggunakan frasa beralih ke peran dan memegang peran secara bergantian.

Cara termudah untuk menggunakan peran adalah dengan memberikan izin kepada IAM pengguna Anda untuk beralih ke peran yang Anda buat dalam peran Anda sendiri atau yang lain Akun AWS. Mereka dapat beralih peran dengan mudah menggunakan IAM konsol untuk menggunakan izin yang biasanya tidak Anda inginkan, dan kemudian keluar dari peran untuk menyerahkan izin tersebut. Ini dapat membantu mencegah akses yang tidak disengaja atau modifikasi sumber daya sensitif.

Untuk penggunaan peran yang lebih kompleks, seperti memberikan akses ke aplikasi dan layanan, atau pengguna eksternal gabungan, Anda dapat menghubungi file. AssumeRole API APIPanggilan ini mengembalikan satu set kredensi sementara yang dapat digunakan aplikasi dalam panggilan berikutnyaAPI. Tindakan yang dicoba dengan kredensial sementara hanya memiliki izin yang diberikan oleh peran terkait. Sebuah aplikasi tidak harus "keluar" dari peran sebagaimana pengguna di konsol; melainkan aplikasi hanya berhenti menggunakan kredensial sementara dan melanjutkan melakukan panggilan dengan kredensial yang asli.

Pengguna gabungan masuk dengan menggunakan kredensil dari penyedia identitas (iDP). AWS kemudian memberikan kredensi sementara ke iDP tepercaya untuk diteruskan ke pengguna untuk disertakan dalam permintaan sumber daya berikutnya. AWS Kredensial tersebut memberikan izin yang diberikan kepada peran yang ditetapkan.

Bagian ini memberikan gambaran tentang skenario berikut: