AWS Certified Solution Architect Associate之旅的第一站,我们首先来看看IAM服务。
IAM是Identity and Access Management缩写,提供我们使用者一套更具备安全性和弹性的云端资源控管机制。我们可以按照任务所需,去指派所需要的云端资源取得权限和方式,而不必去使用Root Account。这边Root Account是指我们第一次使用AWS云端服务时所开的帐号,此帐号拥有最高的权限,能取得任何AWS上的云端资源和服务。因此,若使用Root Account去做仅需要部份云端资源的服务时,我们会面临到其他服务被意外窃取的高额机会成本。
这边透过下面的表格说明IAM的整体架构(因为考照是英文出题,以下会尽量以英文去标示关键字词。)首先,Policy让我们可以定义多少资源,需要释放给特定任务做使用。Policy定义完後,将指派给IAM Group下的User或者是Role,让IAM Group下的User或者Role可以按照这个Policy,去享有特定的云端资源服务。至於IAM Group User和Role差别,IAM Group User可以看做我们要提供多少AWS云端服务,给其他系统开发者,也就是从人的角度去看;而IAM Role的话,则是让我们内部本身的AWS云端资源,可以相互取得串通,也就是从云端资源角度去看,例如某台云端机器可以享有其他的云端储存资源。
我们编写IAM Policy时,须留意到Policy是在JSON格式中,由effect, principal, condition, action 以及 resource组成。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
]
}
IAM有以下几项特点:
此短片让大家可以从不同角度再去看一次IAM。
>>: Progressive Web App 加入主画面 : PWA 究竟加入和安装了什麽 (2)
在debian下使用alien转换MegaRAID Storage Manager的RPM到deb过...
CPU指令可以分成两大类,一是操作CPU内部暂存器的算术逻辑指令,一是存取记忆体,也就是所谓的loa...
本篇同步发布於个人Blog: [PoEAA] Domain Logic Pattern - Tran...
《30天带你上完 Google Data Analytics Certificate 课程》系列将...
v-model 修饰符 Vue 里面为 v-model 提供了一些可以用的修饰符,主要是可以帮我们限...