IAM中的Role

为了理解角色的概念，让我们来想象一下咖啡店。众所周知，布莱恩在店里工作，根据店里每天的人员配备情况，他可能负责收银或库存系统，也可能负责一天结束时的清理工作，无法访问任何系统。作为店主，我有权将这些不同的角色分配给布莱恩。他的职责和访问权限是可变的，每天都在变化。仅仅因为他昨天在系统中跟踪库存，并不意味着他应该在任何时候都这样做。他在工作中的角色会发生变化，而且本质上是临时的。AWS 中也存在同样的想法。您可以在 AWS 中创建称为角色的身份。 

角色具有允许或拒绝特定操作的相关权限。这些角色可以在一段时间内临时担任。它类似于用户，但没有用户名和密码。相反，它是一个您可以担任的身份，可以获得临时权限。您可以使用角色临时授予对 AWS 资源、用户、外部身份、应用程序甚至其他 AWS 服务的访问权限。当身份担任角色时，它会放弃它拥有的所有先前的权限，并担任该角色的权限。

实际上，通过将用户联合到您的帐户，您可以避免为组织中的每个人创建 IAM 用户。这意味着他们可以使用他们的常规公司凭证，通过将其公司身份映射到 IAM 角色来登录 AWS。AWS IAM 身份验证和授权即服务。

角色概念在咖啡店的比喻：

• 布莱恩的角色：布莱恩在咖啡店的工作角色是可变的，他的职责和权限取决于当天的人员配置。
• 职责和权限：布莱恩可能负责收银、库存系统管理或清理工作，每种职责都有不同的访问权限。
• 临时性：布莱恩的角色不是永久固定的，而是根据需要临时分配的。

  AWS中的角色概念：

• 角色定义：在AWS中，角色是一个可以承担的身份，它具有允许或拒绝执行特定操作的权限。
• 无用户名和密码：与用户不同，角色没有关联的用户名和密码，它是一种可以临时担任的身份。
• 权限授予：角色可以用来临时授予对AWS资源、用户、外部身份、应用程序或其他AWS服务的访问权限。
• 权限的暂时性：当某个身份担任一个角色时，它会放弃原有的所有权限，转而采用角色的权限。

  实际应用：

• 联合身份：可以通过联合身份的方式，让组织中的成员使用他们的公司凭证登录AWS，无需为每个人创建IAM用户。
• 身份映射：将公司身份映射到IAM角色，这样员工就可以使用他们的公司账户访问AWS。
• IAM作为服务：AWS IAM提供身份验证和授权服务，管理用户和角色的访问权限。

  总结：

  AWS中的角色提供了一种灵活的方式来管理权限，类似于咖啡店中布莱恩的角色分配。这种设计允许根据需要动态调整权限，确保安全性和效率。通过使用角色，组织可以简化身份管理，同时保持对资源的严格控制。