Cod*_*ein 2 amazon-web-services amazon-iam
Amazon Web Service的IAM服务允许管理员创建具有不同权限,组等的用户帐户.
当管理员创建新用户时,他可以选择指定此用户是仅限于编程访问(即仅通过api调用访问AWS)还是Web控制台访问(即可以登录Web GUI).
为什么AWS会投入时间和金钱来做这件事?
为什么有人想要将用户限制为一个或另一个?Web控制台可以执行任何编程访问,反之亦然.仅允许一个或另一个似乎不提供任何安全优势.那为什么要这么麻烦?
控制台凭据和IAM用户密钥是两组独立的凭证(对于相同的主体).并不是说AWS遇到了断开本质上连接的两件事的麻烦.
在大多数情况下,你的断言是正确的 - 有一些异常并非完全相关,但作为一项规则,你可以通过编程方式完成的任何事情都可以在控制台中完成,反之亦然,因此不能简单地激励它任何上诉都是为了控制对底层资源的访问而将用户限制为一方或另一方.
有些用户不需要编程访问.这些用户可能是非技术(或可能是非开发人员)用户,他们具有控制台访问的合法业务目的,但不需要密钥.
有些用户不需要控制台帐户.这些用户很可能是需要API密钥的非人类用户,但他们的位置不是因为他们可以使用IAM角色凭证.
不配置用户不需要的访问机制与最小特权原则完全一致.
| 归档时间: |
|
| 查看次数: |
633 次 |
| 最近记录: |