11 May 2024

aws上role和policy学习

在aws中，管理和配置访问权限是保证云资源安全的关键步骤。理解iam的三个核心组件——role、policy和trust policy至关重要。本文将详细介绍这些组件，并通过配置alb的示例来具体说明它们的应用。

role

role是一种权限的集合，它不直接与单个用户账户相关联。角色被设计来由aws服务扮演，使得这些服务可以执行需要的操作，而无需将长期的访问密钥嵌入到代码中。角色可以通过扮演来临时获取必要的权限，从而增强安全性和灵活性。

policy

policy是一个由json或yaml格式定义的对象，它详细说明了可以执行哪些操作、在哪些资源上可以执行这些操作，以及在什么条件下可以执行这些操作。策略可以附加到角色、用户或者用户组上。策略通过声明“允许”或“拒绝”来控制权限，确保只有符合特定条件的请求才被授权。

trust policy

信任策略是一个特定类型的策略，用于定义哪些账户或服务可以扮演某个角色。这是角色安全性的关键部分，因为它确保只有被明确允许的实体才能获得角色中定义的权限。

alb示例

假设你正在aws上配置一个alb，它需要访问后端的ec2实例以及访问s3存储桶中的日志文件。为此，你需要创建一个iam角色，这个角色将赋予alb必要的权限。

• 创建一个role，并指定其用途，例如给alb使用。这个角色将作为权限的容器
• 为角色添加policy，明确alb可以执行的操作，如读取特定s3桶的权限和向ec2实例转发流量的权限
• 编写trust policy，允许alb服务扮演这个角色。这确保了只有alb可以使用这些特定的权限，防止了权限的滥用

LEo at 00:12