IAM角色

已于 2023-05-10 10:06:27 修改
阅读量1k 收藏
点赞数
分类专栏: 云计算 文章标签: 云计算
于 2023-05-03 19:05:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andyliuzhii/article/details/130475895
版权

Identity-based policy,它关联到特定的User/Role/Group上,指定这些主体能对哪些资源进行怎样的操作
Resource-based policy,它关联到具体的AWS资源上,指定哪些主体可以对这个资源做怎样的操作

aws受信任关系视为aws服务可以实现(承担角色)您授予的权限。例如,从s3读取存储桶权限的角色,ec2是该角色中的受信任关系,则只有ec2实例可以实现此角色并且可以访问此s3存储桶,aws中(如 rds / elasticsearch / amplify 等)等服务不可能承担此角色并获取此应用程序的配置文件。
创建一个名为“my-app-role”的角色,其中包含多个策略,其中一个是s3策略,可以访问s3资源“configuration-for-app”并具有仅获取它的明确权限(不删除我,不改变它 - 只是得到它)。
应用程序在ec2上运行,这些服务之间的此要求中的受信任关系将是<ec2> -> <s3>,我在 ec2 上运行的应用程序可以假设角色(my-app-role)并访问(其中包含正确的策略)到 s3 并获得配置文件。
该角色包含此策略:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "s3:GetObject"
      "Resource": "arn:aws:s3:::configuration-for-app/*"
    }
  ]
}
受信任的策略是:
 {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
 

一文搞懂 AWS IAM 权限 基础篇下 实战 - 知乎

andyliuzhii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iam-docker-run:在AWS IAM角色和其他开发工作流程帮助程序的上下文中运行Docker容器
05-28
IAM-Docker-Run 在AWS IAM角色和其他开发工作流程帮助程序的上下文中运行Docker容器。 动机 目标是当应用程序在ECS或EKS中运行时,在尽可能与生产环境类似的环境中在开发中的笔记本电脑上运行我们的应用程序,这些应用程序将在具有特定于该任务的权限的任务IAM角色下运行。 开发人员有时采取的一种捷径是与他们的个人IAM用户本地执行代码,该用户通常具有很高的特权。 更糟糕的是,这些长期存在的凭证有时会作为docker-compose.yml文件等的一部分而被检入源代码管理中。IAM-Docker-Run允许您在为之创建IAM角色的上下文中本地运行容器。你的申请。 凭据本身是临时的,它们存储在系统的临时路径中的文件中,并且永远不会在源代码管理中出现。 IAM-Docker-Run会生成AWS临时凭证并构建一个冗长的docker run命令行语句,在执行该语句时回显该
kube2iam:kube2iam为在Kubernetes上运行的Pod提供了不同的AWS IAM角色
01-30
kube2iam 根据注释为运行在kubernetes集群中的容器提供IAM凭据。 语境 传统上,在AWS中,服务级别隔离是使用IAM角色完成的。 IAM角色是通过实例配置文件分配的,服务可以通过ec2元数据API的aws-sdk的透明用法来访问它们。 使用aws-sdk时,将对EC2元数据API进行调用,该API提供临时凭证,这些凭证随后用于对AWS服务的调用。 问题陈述 问题在于,在基于多租户容器的世界中,多个容器将共享基础节点。 给定的容器将共享相同的基础节点,通过IAM角色提供对AWS资源的访问将意味着需要创建一个IAM角色,该角色是所有IAM角色的并集。 从安全角度来看,这是不可接受的。 解 解决方案是将流向docker容器的ec2元数据API的流量重定向到在每个实例上运行的容器,调用AWS API检索临时凭证并将其返回给调用方。 其他调用将被代理到EC2元数据API。 该容器将需要在启用主机网络的情况下运行,以便它可以调用EC2元数据API本身。 用法 IAM角色 必须创建一个可以承担其他角色IAM角色,并将其分配给每个kubernetes工作者。 { "Vers
AWS EKS添加集群用户IAM角色
weixin_41335923的博客
11-15 1665
目录一、将 aws-auth ConfigMap 应用到集群二、将 IAM 用户角色添加到 Amazon EKS 集群 Amazon EKS 使用 IAM 为Kubernetes 集群提供身份验证(通过 AWS CLI 的 1.16.156 版或更高版本中可用的 aws eks get-token 命令或者适用于 Kubernetes 的 AWS IAM 身份验证器),但它仍依赖于 Kubernetes 基于角色的访问控制 (RBAC) 来进行授权。 一、将 aws-auth ConfigMap 应用到
Amazon S3 功能介绍
weixin_30583563的博客
06-04 711
1 存储过程 创建用于存储数据元的桶,可以选择数据元所驻留的地区(目前来说,选择东京、新加坡会快些,美国本土更便宜),上传数据元到桶,进行持久化存储。另外,可以对上传的数据元及桶进行访问控制、加密等设置。每个AWS账户可以创建多个用户用户可以对所拥有的数据进行上述权限控制。 目前可存储的你内容有: (1)多媒体、音乐、图片 (2)视频监控文件 (3)医疗系统...
aws账户 iam用户_在多账户组织中管理AWS用户角色
weixin_26752759的博客
09-16 1836
在多账户组织中管理AWS用户角色 (Managing AWS Users and Roles in a Multi-Account Organization)My last post compared different infrastructure tools for creating users and letting them assume roles for cross-accoun...
AWS创建用户角色、策略
qq_43657722的博客
11-16 1780
AWS创建用户角色、策略,对接亚马逊SP-API
Amazon Simple Storage Service (Amazon S3) 简介
czcit_ai_cloud的博客
10-25 628
Amazon Simple Storage Service (Amazon S3) 接下来要介绍的是如何将先前的应用程序从 EC2 搬移到更轻量的 Container 里,但在介绍 Container 之前先介绍 Amazon Simple Storage Service (Amazon S3) ,做为应用程序的储存空间。 Ama...
关于AWS IAM Role如何配置临时token访问S3 小结
BAStriver的博客
05-18 3913
1. 这篇文章主要是想记录一下如何通过token本地访问、测试S3而不是直接使用IAM User的Access keys。简而言之就是通过StsClient assumeRole获取临时的credentials然后生成S3Client。 详细的IAM, STS相关的官网文档可以参考这里。 2. 第一步先在这里创建一个IAM User。 1) 输入UserName,并且编程接口,然后下一步直接Next不赋予权限,Tag可以忽略。 2) Review界面如图: 3. 然后创建IAM Role.
k8s sa role rolebinding secret
qq_30553857的博客
05-05 1547
一、在RBAC中的几个概念: 1、什么是RBAC RBAC全称Role-Based Access Control,是Kubernetes集群基于角色的访问控制,实现授权决策,允许通过Kubernetes API动态配置策略。 2、什么是Role Role是一组权限的集合,例如Role可以包含列出Pod权限及列出Deployment权限,Role用于给某个NameSpace中的资源进行鉴权。 3、什么是ClusterRole ClusterRole是一组权限的集合,但与Role不同的是,ClusterRo
关于应用程序中使用STS切换IAM角色
BAStriver的博客
11-27 1369
1. 用过Aws的都知道,上面的各种服务都是有严格的权限控制的,即使是同一账号也会有不同的角色,类似于IAM 用户。对于IAM角色可以参考:IAM角色。但是要注意,一次只有一组权限处于活动状态。在担任某个角色时,将临时放弃以前的用户角色权限并使用为该角色分配的权限。 2. 假设现在有这样一个需求,我们的应用程序中使用了javav2的s3客户端,但部署的服务器上的默认角色并没有访问某个buck...
terraform-aws-glue-iam-role:IAM角色用作胶水服务角色
03-19
用法创建一个IAM角色以用作可从任何存储桶读取并使用任何KMS密钥的胶水服务角色。 module " glue_iam_role " { source = " dod-iac/glue-iam-role/aws " name = " glue-iam-role " buckets = [ " * " ] keys = [ " *...
gcp-iam-role-permissions:导出原始和预定义的GCP IAM角色及其权限
03-25
获取所有原始和预定义的GCP IAM角色 该存储库以JSON格式将约550个原始和预定义的IAM角色提取到roles目录。 GitHub Action已配置为每天刷新它们。 这样可以自动跟踪由GCP进行的更改。 提供了一些帮助程序脚本来帮助...
iam-role-injector:通过awscli STS调用承担IAM角色,将临时凭据注入到shell环境中
05-24
IAAM角色注入器IAM角色注入器是一种可以轻松承担具有多因素身份验证(MFA)的IAM角色的工具。 它操纵环境变量,以允许已经使用AWS凭证的代码库以最少的重构甚至不进行重构的方式使用IAM角色。 同样,Role Injector也...
java aws访问授权 实例_[AWS][安全][S3] IAM 角色授权 EC2 访问 S3
weixin_39620629的博客
03-04 802
实验说明:在先前的中,我们讲到使用 AWS CLI 对 S3 中的对象进行操作,在配置 AWS CLI 的 时候,我们创建IAM Access Key 和 Secret Key,这种 Key 属于 Long Term Key,也就意味 着如果您不 rotate Key,那么 key 将长期有效,如果 Key 不慎丢失,就需要在 AWS IAM 界 面删除这个 key 或者停用 key。当我们将...
Day2—AWS CLI工具+为EC2分配IAM角色
weixin_43420057的博客
10-17 778
将AWS CLI工具安装在EC2实例上。 1.创建一个linux实例; 2.用之前的命令行和方法连接上该实例; 3.在终端中输入命令:aws s3 ls做测试,回车结果是Unable to locate credentials。当然,此时我们还未将AWS CLI工具安装在EC2实例上; 4.此时我们需要先在实例中建立一个IAM角色。 5.回到AWS控制台,在服务中选择“IAM” 6.添加一个新用户...
AWS s3 使用教程,前后端Java+html开发教程
hhhlkkk的博客
08-06 2336
AWS,S3,java,html,cloudfront,signed url
AWS云计算技术架构探索系列之二-身份账户体系(IAM)
恰恰虎的博客
05-01 3958
一、前言 建立身份账户体系是我们上云的第一步,良好的账户体系设计,会为后续的管理带来极大的便捷性和扩展性,反之,则可能增加管理的复杂,以及账户使用的不安全。 AWS设计了一套完备的身份账号体系,主要包括IAM(Identity and Access Management),以及Organizations,其中IAM,包括账号,用户组,用户角色,策略等。其关系图如下: 用户用户是AWS的身份凭证,分为根用户IAM用户用户的识别包括用户名/密码,AK/SK。 用户组,...
Ceph入门到精通-Aws Iam(user,role,group,policy,resource)架构图和快速入门
隔壁老瓦的专栏
08-15 1536
- Aws Iam(identity,user,role,group,policy,resource,)架构图和快速入门.aws 云服务运维,devops过程中经常涉及各项服务,权限,角色的处理。为了更好的使用各项云服务同时确保安全性,需要深入了解aws iam相关内容。aws需要结合公司业务需求,安全需求,成本承受能力,运维能力等综合确认相关的aws部署设置方案。
云计算-高级云资源配置(Advanced Cloud Provisioning)
最新发布
qq_54813250的博客
05-31 1434
BucketPolicy”是一个类似于“Bucket”的资源,它具有“Type”和“Properties”。“Statement”属性包括五个子属性 - “Sid”,“Effect”,“Principal”,“Action”和“Resource”。现在我们将在上面的模板中的“Properties”标签中添加“AccessControl”和“WebsiteConfiguration”属性。首先,如果Bucket访问未设置为“公共”,我们需要取消选中“权限”选项卡中的“阻止所有公共访问”。
单点登录和IAM的区别
02-29
单点登录(Single Sign-On,简称SSO)和身份与访问管理(Identity and Access Management,简称IAM)是两个不同的概念。 单点登录是一种身份验证和授权机制,它允许用户在一次登录后,即可访问多个相关系统或应用,而无需再次输入凭据。用户只需要进行一次身份验证,然后就可以无缝地访问其他系统,提供了更好的用户体验和便利性。SSO通常通过使用令牌、cookie或其他身份验证机制来实现。 身份与访问管理(IAM)是一种综合性的解决方案,用于管理用户身份、权限和资源访问。IAM涉及到用户身份验证、授权、权限管理、角色管理等方面。它提供了一套完整的工具和流程,用于管理和控制用户对系统和资源的访问权限。IAM可以帮助组织实现安全的身份管理,确保只有授权的用户可以访问特定的资源。 因此,单点登录是一种身份验证机制,它使用户可以在多个应用之间无缝切换,而IAM是一种综合性的解决方案,用于管理用户身份和资源访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值