Роли AWS IAM — это набор разрешений, которые вы можете предоставить пользователям, чтобы контролировать их доступ к ресурсам AWS. Они похожи на учетные записи пользователей, но с особыми разрешениями для управления ресурсами AWS.
Вы создаете роли IAM с помощью консоли управления AWS Management Console, интерфейса командной строки AWS или API AWS. Затем вы назначаете роль пользователям, предоставляя им разрешения на использование роли.
Вы можете предоставить пользователям следующие разрешения для ролей AWS IAM:
Доступ к ресурсам AWS
Модификация ресурсов AWS
Выполнение действий AWS, таких как запуск и остановка экземпляров AmazonEC2.
В следующей таблице показаны наиболее распространенные разрешения, которые вы можете предоставить пользователям в роли IAM.
Разрешение Описание ReadAccess Предоставление доступа на чтение к ресурсам AWS. Сюда входит возможность просматривать содержимое файлов на ресурсах AWS и читать из стандартного ввода и вывода (SIN и SNI) на ресурсах AWS. WriteAccess Предоставление доступа на запись к ресурсам AWS. Это включает возможность создавать, удалять и изменять файлы на ресурсах AWS. ListAccess Предоставление доступа по списку к ресурсам AWS. Это включает возможность просматривать содержимое папок на ресурсах AWS и перечислять файлы и подкаталоги в этих папках.
CreateAccess Предоставить доступ к ресурсам AWS для создания. Сюда входит возможность создавать новые ресурсы AWS. ModifyAccess Предоставление доступа к изменению ресурсов AWS. Сюда входит возможность обновлять, изменять или удалять содержимое файлов на ресурсах AWS. ExecuteAccess Предоставляет доступ к действиям AWS, таким как запуск и остановка экземпляров AmazonEC2. Это разрешение необходимо для использования модуля действий AmazonEC2.
Вы также можете предоставить пользователям следующие разрешения, если они являются членами ролевой группы:
ListAccess (для членов роли groUPS)
CreateAccess (для членов роли groUPS)
ModifyAccess (для членов роли groUPS)
ReadAccess (для членов роли groUPS)
WriteAccess (для членов роли groUPS)
ExecuteAccess (для членов роли groUPS)
В следующей таблице показаны наиболее распространенные разрешения, которые вы можете предоставить пользователям в ролевой группе.
ПРО СОВЕТ: Роли AWS IAM — это мощный инструмент, который можно использовать для управления доступом к ресурсам AWS. Однако они также могут быть использованы неправильно или неправильно поняты, что может привести к серьезным уязвимостям безопасности. При использовании ролей IAM обязательно нужно понимать, как они работают и как их правильно настроить.
Разрешение Описание ListAccess (для роли groUPS) Предоставление списочного доступа к ресурсам AWS всем членам ролевой группы. CreateAccess (для роли groUPS) Предоставление доступа к созданию ресурсов AWS всем членам ролевой группы. ModifyAccess (для роли groUPS) Предоставление доступа к изменению ресурсов AWS всем членам ролевой группы. ReadAccess (для роли groUPS) Предоставление доступа на чтение к ресурсам AWS всем членам ролевой группы.
WriteAccess (для роли groUPS) Предоставление доступа на запись к ресурсам AWS всем членам ролевой группы. ExecuteAccess (для роли groUPS) Предоставление доступа к действиям AWS на выполнение всем членам ролевой группы.