IAM角色和IAM用户之间有什么区别? IAM FAQ有一个解释它的条目,但是它含糊不清,不是很清楚:
我认为IAM角色用于联合登录(例如,使用带有SAML token 的IdP),并且它们没有像常规IAM用户所拥有的那样可以下载的永久访问密钥(“IAM角色没有任何访问权限凭据”部分)。
当他们说IAM角色无法直接向AWS服务发出请求时,它们是什么意思?我可以登录到AWS Console(Web控制台)并创建堆栈等,因此并非如此。
最佳答案
您是IAM用户(具有一些附加的IAM角色)。
将IAM角色视为功能。
您提供了IAM用户功能(例如“可以创建Lambda函数”,“可以上传到S3”)。
联合用户注意事项:
从http://docs.aws.amazon.com/IAM/latest/UserGuide/id.html:
因此,联盟用户类似于可以将IAM角色附加到的IAM用户。除了您有外部身份提供者。
从技术上讲,登录到AWS控制台时不会使用角色作为您的身份。您正在使用联盟用户帐户(具有其自己的附加角色)作为标识。