因此,用戶可以按組和路徑分組。如果我們有組,為什么我們需要路徑?What is the extra advantage of having paths?
uj5u.com熱心網友回復:
我的猜測是,用戶路徑的使用更適合大型組織或高級用戶,他們通常依賴 CloudFormation 和/或 AWS CLI 來管理其 AWS 資源。路徑的清晰度-> https://stackoverflow.com/a/46325139/13126651
我如何看待組v/s路徑。
- 可能
permissions(more than one)適用于開發組和特定用戶 - 我們不想
specific users使用開發組策略,但是開發組也需要一些適用于開發用戶的權限。 - 我會創建一個
dev path - 可以通過創建策略為路徑中的用戶使用該特定服務來授予他們訪問權限。
- 通過這種方式將特定用戶添加到開發路徑,允許在不將它們添加到開發組的情況下授予權限。
- 如果將來需要洗掉開發權限,只需洗掉路徑即可。
使用路徑的示例策略
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"iam:GetContextKeysForPrincipalPolicy",
"iam:SimulatePrincipalPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:user/Department/Development/*"
}
]
}
團體:
IAM 用戶組是 IAM 用戶的集合。用戶組允許您為多個用戶指定權限,這樣可以更輕松地管理這些用戶的權限。例如,您可以有一個名為 Admins 的用戶組,并為該用戶組授予管理員通常需要的權限型別。該用戶組中的任何用戶都自動擁有分配給該用戶組的權限。如果新用戶加入您的組織并需要管理員權限,您可以通過將用戶添加到該管理員組來分配適當的權限
小路 :
您可以使用單個路徑,也可以將多個路徑嵌套為檔案夾結構。例如,您可以使用嵌套路徑 /division_abc/subdivision_xyz/product_1234/engineering/ 來匹配您的公司組織結構。然后,您可以創建一個策略以允許該路徑中的所有用戶訪問策略模擬器 API。
關鍵區別
如果您在同一路徑中有用戶和用戶組,IAM 不會自動將用戶放入該用戶組。例如,您可以創建一個 Developers 用戶組并將路徑指定為 /division_abc/subdivision_xyz/product_1234/engineering/。如果您創建一個名為 Bob 的用戶并向他添加相同的路徑,這不會自動將 Bob 放入 Developers 用戶組。IAM 不會根據用戶或用戶組的路徑在用戶或用戶組之間實施任何界限。
轉載請註明出處,本文鏈接:https://www.uj5u.com/shujuku/419432.html
標籤:
