#amazon-web-services #amazon-iam #aws-roles
Вопрос:
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html
На этой странице написано вот это. Что именно это означает? Есть ли какие-либо проблемы, вызванные этим ограничением?
- SCP не влияют ни на одну роль, связанную с обслуживанием. Роли, связанные с услугами, позволяют другим сервисам AWS интегрироваться с организациями AWS и не могут быть ограничены SCP.
- Любое действие, выполняемое с использованием разрешений, прикрепленных к роли, связанной со службой (в разделе «Задачи и объекты, не ограниченные SCPS»).
Идеи
- Пользователи могут создавать новые роли, связанные с услугами, с любыми разрешениями, независимо от SCP. Таким образом, пользователи могут позволить экземплярам EC2 (например) делать то, что пользователи не могут делать напрямую.
- Пользователи могут создавать новые роли, связанные с услугами, с разрешениями, разрешенными SCP. Однако роли, связанные с обслуживанием, могут совместно использоваться другими учетными записями в той же организации. Поэтому роли, связанные с общими службами, могут иметь разрешения, которые не разрешены SCP.
Комментарии:
1. Как все прошло? Все еще неясны вопросы?
Ответ №1:
- Роль экземпляра не является ролью, связанной со службой. Единственные роли, связанные с обслуживанием для EC2, предназначены для запросов спотовых экземпляров и запросов Спотового парка. Таким образом, вы не можете обойти SCP с ролью экземпляра. То же самое касается ролей ECS и Лямбда.
- Не уверен, что я понимаю вопрос, но служебные роли принимаются только сервисом AWS. Они не предназначены для пользователей, групп или ролей IAM.
Комментарии:
1. Извините за поздний ответ. Я очень смущен ролью экземпляра и ролью, связанной с обслуживанием. Не могли бы вы дать мне объяснение? Если я создам новую роль с сервисом type = AWS здесь ( console.aws.amazon.com/iam/home#/roles$new?шаг=тип ), это роль, связанная со службой? Если я выберу роль IAM в «Шаге 3: Настройка сведений об экземпляре» при создании EC2, означает ли это, что я назначаю роль, связанную с сервисом, новому экземпляру EC2?
2. @dmjy Без проблем. Роль экземпляра предназначена для отдельных экземпляров. У каждого экземпляра может быть своя роль или ее нет. Роль экземпляра предоставляет разрешения приложениям, запущенным на экземплярах. Напротив, роль, связанная с обслуживанием, для всей службы EC2. Вы не можете контролировать это, так как AWS управляет сервисом EC2, в отличие от экземпляров EC2, которыми вы управляете.
3. Пока я вижу эту страницу ( docs.aws.amazon.com/autoscaling/ec2/userguide/… ), я могу создавать новые роли, связанные с услугами. Что вы подразумеваете под «вы не контролируете это (роль, связанная с обслуживанием)»?
4. @dmjy Вы можете создать его, но вы не можете ни использовать его, ни изменять. Это для службы EC2, а не для того, чтобы вы использовали или изменяли ее.