11. Credential Policies
• 來自 IAM Role / User 的 Policy
• AssumeRole() 時可以帶入額外 Policies
• AWS 接到 Request 時,會再比對是否有權限呼叫該 API
(比對所有 policy)
12. 用例:Role 取代 Group
• Role 可以在 Principal 要求帶入 MFA
• IAM User 必須先有權限呼叫 AssumeRole,查驗 MFA 後,才能變
身
• IAM Group 權柄天授,只能透過 Group Policy 加以限制
• Login as IAM User `clifflu`
• AssumRole(‘arn:aws:iam::123412341234:role/admin’)
13. 用例:IAM Role per Service Role
• Web Tier 各有 Instance Profile 進行基本授權
• 如果有多於一種 Service Role 在同一台機器上
• Instance Profile 只授權成為各個 Service Role 之 IAM Role
• 開發機?
• 只要 Principal 帶有 ec2,就能當作 Instance Profile 用;把 AWS Account 加
入 Principal,就能授權其他 Identity AssumeRole