Hvad er forskellen mellem en rolle og en instansprofil i AWS?


Svar 1:

Amazon EC2 bruger en forekomstsprofil som en container til en IAM-rolle. Når du opretter en IAM-rolle ved hjælp af konsollen, opretter konsollen en instansprofil automatisk og giver den samme navn som den rolle, den svarer til. Hvis du bruger AWS CLI, API eller en AWS SDK til at oprette en rolle, opretter du rollen og forekomstsprofilen som separate handlinger, og du giver dem muligvis forskellige navne. For at starte en instans med en IAM-rolle specificerer du navnet på dens instansprofil. Når du starter en forekomst ved hjælp af Amazon EC2-konsollen, kan du vælge en rolle, der skal knyttes til forekomsten; men den liste, der vises, er faktisk en liste over navn på forekomstprofiler.


Svar 2:

Her er de vigtigste funktioner i AWS IAM:

  • AWS Identity and Access Management (IAM) er en webtjeneste til sikker kontrol af adgangen til AWS-ressourcer. Det giver dig mulighed for at oprette og kontrollere tjenester til brugergodkendelse eller begrænse adgangen til et bestemt sæt brugere på dine AWS-ressourcer.

Hvad er komponenterne i IAM?

Hvad er IAM-bruger?

  • Med IAM kan du sikkert administrere adgang til AWS-tjenester. Du kan oprette en IAM-bruger, når der er en ny medarbejder til din virksomhed.

Hvad er rolle?

  • En IAM-rolle er et sæt tilladelser, der definerer, hvilke handlinger der er tilladt og nægtet af en enhed i AWS-konsol. Det ligner en bruger. En rolle i IAM kan b få adgang til af enhver enhed (en individuel eller AWS-tjeneste).

Overvej et eksempel på IAM-rolle for en bedre forståelse:

Hvad er en forekomstsprofil?

Da en IAM-bruger specificerer en person, specificerer en instansprofil en EC2-forekomster.

Computetjenesten for EC2-instans fungerer under instansprofilen og definerer "WHO", som forekomsten er.

Brug af AWS-administrationskonsol, når der oprettes en IAM-rolle til EC2-instans og EC2-instansprofil.

Jeg håber, at dette hjælper dig med at forstå. :)

Hvis du vil lære mere, foreslår jeg, at du prøver denne video:

For at få en dybere forståelse af disse koncepter, tjek vores Cloud Architect (AWS & Azure) Masters Program Training | Simplilearn.


Svar 3:

En rolle er en samling af tilladelser (via politikker), der knyttes til en IAM-bruger til at tildele / tilbagekalde ressourceadgangsrettigheder til denne bruger. En forekomstsprofil er en slags indpakning omkring en rolle, der tillader, at rollen knyttes til en forekomst. Når instansen har brug for tilladelser, der er tildelt af rollen, tildeles de (midlertidigt, som jeg forstår det) via instansprofilen. Jeg tænker muligvis forkert på instansprofilen som en "rollefabrik", der er knyttet til forekomsten.

Den korte af det er der ikke meget praktisk forskel. Hvis en bruger har rolle "A", og en instans har en forekomstsprofil knyttet til "A", kan disse to principaler få adgang til de samme ressourcer på samme måde.


Svar 4:

Der er to vigtige dele af ethvert godkendelsessystem, ikke kun IAM:

  • Hvem er jeg? Hvad har jeg lov til at gøre?

Når du opretter en IAM-bruger, blandes disse to spørgsmål i en enkelt hoved: IAM-brugeren har begge egenskaber. Det har legitimationsoplysninger, hvor nogen kan "være" brugeren, og det er knyttet tilladelser for at give brugeren mulighed for at udføre handlinger.

Roller er simpelthen "hvad kan jeg gøre?"

De tilvejebringer en mekanisme til at definere en samling af tilladelser. Du tildeler administrerede politikker og inline politikker til rollen som at give det tilladelse til at handle. Men det er i sig selv ikke en bestemt person eller ting. Det definerer ikke "hvem er jeg?"

Roller er designet til at "antages" af andre rektorer, der definerer "hvem er jeg?", Såsom brugere, Amazon-tjenester og EC2-instanser.

En forekomstsprofil definerer på den anden side “hvem er jeg?” Ligesom en IAM-bruger repræsenterer en person, repræsenterer en instansprofil EC2-forekomster. De eneste tilladelser, som en EC2-instansprofil har, er kraften til at påtage sig en rolle.

Så EC2-instansen kører under EC2-instansprofilen og definerer ”hvem” forekomsten er. Derefter "overtager" IAM-rollen, som i sidste ende giver den enhver reel magt.

Når du opretter en IAM-rolle for EC2 ved hjælp af AWS Management Console, opretter den både en EC2-instansprofil såvel som en IAM-rolle.

Hvis du imidlertid bruger AWS CLI, SDK'er eller CloudFormation, skal du udtrykkeligt definere begge:

  • En IAM-rolle med politikker og tilladelser og en EC2-instansprofil, der specificerer hvilke roller den kan påtage sig