Diferença entre usuário, grupo, função e política em aws

A função do IAM não é uma "função", talvez no sentido tradicional do Active Directory ou LDAP. Uma função do AWS IAM não é algo atribuído a um "Usuário" como um conjunto de permissões - é um conjunto de recursos que podem ser assumidos por alguma outra entidade. Como colocar um chapéu, você só precisa dele em determinados momentos e não faz parte de quem você é.

A

Usuário do IAM

possui credenciais permanentes de longo prazo e é usado para interagir diretamente com os serviços da AWS. Uma função do IAM não possui credenciais e não pode fazer solicitações diretas aos serviços da AWS.

Funções do IAM

devem ser assumidos por entidades autorizadas, como usuários do IAM, aplicativos ou um serviço da AWS, como o EC2.

Um usuário do IAM possui credenciais permanentes de longo prazo e é usado para interagir diretamente com os serviços da AWS. Uma função do IAM não possui credenciais e não pode fazer solicitações diretas aos serviços da AWS. As funções do IAM devem ser assumidas por entidades autorizadas, como usuários do IAM, aplicativos ou um serviço da AWS, como o EC2.

Por favor, veja o vídeo.

O usuário do IAM é uma entidade do IAM que define um conjunto de permissões para fazer a solicitação de serviço da AWS. Semelhante a um usuário de logon em um sistema operacional como Windows ou UNIX, um usuário tem um nome exclusivo e pode se identificar usando credenciais de segurança conhecidas, como senha ou chave de acesso. Um usuário pode ser um indivíduo, sistema ou aplicativo que requer acesso aos serviços da AWS. O IAM oferece suporte a usuários (referidos como "usuários do IAM") gerenciados no sistema de gerenciamento de identidade da AWS e também permite conceder acesso aos recursos da AWS para usuários gerenciados fora da AWS no diretório corporativo (referidos como "usuários federados").

No entanto, uma função do IAM é uma entidade do IAM que define um conjunto de permissões para fazer solicitações de serviço da AWS e não está associada a um usuário ou grupo específico. Em vez disso, entidades confiáveis ​​assumem funções, como usuários do IAM, aplicativos ou serviços da AWS, como o EC2. É altamente recomendável anexar a função do IAM à instância do EC2, em vez de fornecer credenciais do IAM em uma instância. A função IAM pode ser aplicada diretamente às instâncias do EC2 sem vazar nenhuma chave secreta para a instância.

Em poucas palavras, podemos dizer que

  1. O usuário do IAM possui credenciais permanentes de longo prazo e é usado para interagir diretamente com os serviços da AWS, no entanto, a função do IAM não possui credenciais e não pode fazer solicitações diretas aos serviços da AWS.
  2. As funções do IAM devem ser assumidas por entidades autorizadas, como usuários do IAM, aplicativos ou um serviço da AWS, como o EC2.