【aws】什么是assume role

从什么是account(账户)user(用户)role(角色)说起

aws提供的云服务要通过订阅的方式租用并且计费。而aws账户就是所有订阅,计费,云服务的一个独立空间,在这个空间中的所有资源都可以由账户随意调配。

容易混淆的是用户和角色:

用户主要针对的是具体的人或者组织或者应用程序,有固定的认证方式

而角色可以理解为是一系列权限的集合。相比之下角色被认为是一种短期的,灵活的认证。并且角色可以实现跨账户访问

🌰栗子

把账号类比于一个公司,公司中有各种资源 ,公司是一个独立的空间 ,公司可以分配拥有的资源

登录到公司人事部的每一个具体的 员工都是一个用户,有固定的认证方式(比如员工牌)。

角色就是岗位,具体的人分配到不同的岗位上就会扮演不同的角色,角色是一系列权限的集合,一个员工业绩好分配到了项目经理的位置上,就具有了项目经理的权限,过了两个月因为业绩太差被分配到端茶倒水的位置上,就失去了项目经理的权限,只保留了端茶送水的权限,所以同一个员工(工牌号9527),同一个人,因为在不同的岗位上扮演不同的角色,相对应的权限也会发生变化。

最后跨账户访问,也就是跨公司访问的情况:A公司的员工9527,哪怕是项目经理,也无法进入B公司去使用项目经理的权限。也就是说员工9527,他是属于A公司的员工(A账户的用户),无法执行B公司的权限(没有B账户的权限),也无权访问B公司的文件(无权访问账户B的资源)。

但是假设B公司创建了一个岗位(B账号创建了一个角色),这个岗位需要其他公司派来一个苦逼的外包程序员(允许A账号的用户扮演B账号的角色),允许使用B公司的电脑,键盘,鼠标(一部分权限),但是不能吃B公司的零食。

这时候A公司的员工9527,虽然仍然归属于A公司,却可以在B公司扮演角色,明明是A公司的员工,获得了在B公司使用一部分权限的能力。

员工9527在A公司扮演现场工程师,在B公司扮演外包程序员(就是在下了)

这就是assume role。

写成policy

由于是B公司开通的岗位,所以应该在B公司上面开放权限,A公司的员工来不来是A公司的事情。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam:: A公司 : 现场工程师 / 外包程序员 "
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
相关推荐
正在走向自律17 分钟前
阿里云ESC服务器一次性全部迁移到另一个ESC
服务器·阿里云·云计算
OkeyProxy3 小时前
HTTP、HTTPS和SOCKS5代理協議
网络协议·https·云计算·代理服务器·海外ip代理
小峰编程6 小时前
独一无二,万字详谈——Linux之文件管理
linux·运维·服务器·云原生·云计算·ai原生
終不似少年遊*8 小时前
华为云计算HCIE笔记04
网络·华为云·云计算·学习笔记·hcie·认证·数据中心
神秘的土鸡9 小时前
LGMRec:结合局部与全局图学习的多模态推荐系统
目标检测·计算机视觉·云计算
♡喜欢做梦12 小时前
腾讯云云开发 Copilot 深度探索与实战分享
云计算·腾讯云·copilot·玩转云开发 copilot
HUIBUR科技13 小时前
人工智能与云计算的结合:如何释放数据的无限潜力?
人工智能·ai·云计算
云计算DevOps-韩老师13 小时前
【网络云计算】2024第52周-每日【2024/12/23】小测-理论&实操-解析
linux·运维·服务器·开发语言·网络·云计算·perl
云上的阿七13 小时前
云计算中的容器技术(如Docker)是什么?
docker·容器·云计算
終不似少年遊*15 小时前
华为云计算HCIE笔记05
网络·华为云·云计算·学习笔记·hcie·认证·hcs