使用实例配置文件分配角色与将 EC2 实例添加到信任关系
Using Instance Profile to assign role vs. adding EC2 instance to trust relationship
我们是新手,正在学习 AWS。所以,请原谅我们的无知。我们正在创建一个测试环境,以检查如何允许从 EC2 对 DynamoDB 进行最低权限访问。
AWS 文档 (https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/) 建议了几个选项,但没有强调哪些选项允许最低权限访问:
步骤 1:创建具有特定策略的角色以允许访问 DynamoDB。
第 2 步:我们不确定是否应该:
- 创建实例配置文件以将此角色分配给 EC2。 [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html]
或
- 将 EC2 添加到信任关系策略以允许其承担该角色。
有人可以指导我们出于安全目的,以上两个选项中的哪一个允许最低权限访问?我们甚至检查了安全最佳实践@https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html,但无法得到明确的答案。
如果您使用 IAM 控制台 创建实例角色,实例配置文件会自动 为您创建。您无需执行任何操作。此外,信任关系也将正确设置。
因此,您唯一需要做的就是为角色添加 DynamoDB 所需的权限,然后 将 role/instance 配置文件 添加到您的创建它时的实例,或创建后的实例。
我们是新手,正在学习 AWS。所以,请原谅我们的无知。我们正在创建一个测试环境,以检查如何允许从 EC2 对 DynamoDB 进行最低权限访问。
AWS 文档 (https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/) 建议了几个选项,但没有强调哪些选项允许最低权限访问:
步骤 1:创建具有特定策略的角色以允许访问 DynamoDB。
第 2 步:我们不确定是否应该:
- 创建实例配置文件以将此角色分配给 EC2。 [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html]
或
- 将 EC2 添加到信任关系策略以允许其承担该角色。
有人可以指导我们出于安全目的,以上两个选项中的哪一个允许最低权限访问?我们甚至检查了安全最佳实践@https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html,但无法得到明确的答案。
如果您使用 IAM 控制台 创建实例角色,实例配置文件会自动 为您创建。您无需执行任何操作。此外,信任关系也将正确设置。
因此,您唯一需要做的就是为角色添加 DynamoDB 所需的权限,然后 将 role/instance 配置文件 添加到您的创建它时的实例,或创建后的实例。