AWS IAM基于用户的策略与基于资源的策略相比

作者: 你抱着孩子@先跑
发布时间: 2025-03-07 01:56:19 (1天前)
转自：

3 条回复

0#
回复此人
Just do it | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 你所有问题的答案都是的<strong> 这取决于 </强> </p> <P> IAM策略和资源策略同样重要取决于用例。 </p> <P> 假设您想要为AWS托管服务提供权限，例如提供云前端读取s3存储桶的权限..最好使用资源策略... </p> <P> 但是对于上传/更改内容，最好通过IAM政策.. </p> <P> 简单来说，最好在提供来自某些用户/外部系统/用户管理实例的访问时使用IAM策略，并在AWS托管服务之间提供访问使用资源策略。 </p> </DIV>

编辑
1#
回复此人
老人与海。 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <H3> 回答0：DynamoDB不支持基于资源的策略。 </H3> <P> Console GUI看起来像它，但API没有操作。文档很清楚： <a href="http://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-overview.html#access-control-manage-access-resource-based" rel="nofollow noreferrer"> http://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-overview.html#access-control-manage-access-resource-based </A> </p> <H3> 答1：不要在同一资源上使用IAM和资源策略 </H3> <P> 访问控制的挑战是长期维护它： </p> <UL> <LI> 必须正确快速地设置新员工的权限（他们希望工作！） </LI> <LI> 必须迅速删除离职者的许可（无论出于何种原因） </LI> <LI> 有人必须定期检查权限并批准它们 </LI> </UL> <P> 如果只有一个位置可供查找，则上述所有3个任务都更容易。如果要限制访问，请使用“效果”：“拒绝”。审查将抓住任何“意外转让”。 </p> 答案1b： <P> 当然这取决于用例（例如4眼原则可以要求它）。并且某些权限无法在IAM中设置（例如“Everyone”）并且必须在资源上设置。或者，如果销毁/重新创建资源，则基于资源的权限将消失。 </p> <H3> 答案2：IAM策略更易于管理 </H3> <P> 如果情况允许IAM和资源策略，它们具有相同的语法并且可以同样严格，至少在您的情况下。假设所有其他条件相同，IAM策略更容易管理。 </p> <H3> 答案3：最佳做法 </H3> <P> 不幸的是，除了“最小权限”之外，我不知道AWS发布的最佳实践。我建议您在可维护性方面采用最佳实践，以及AWS之外的其他权限。 </p> </DIV>

编辑

登录后才能参与评论