между IAM policies и IAM Roles
как я поняла IAM Policy это элемент который разрешает или запрещает какие то действия, а IAM Role это комбинирует все под одним лицом для того что бы потом применять этот набор политик для юзера или группы
правильно ли я понимаю?
Ага, всё так. Роли это "кто", полиси это "что можно". Одно без другого бесполезно
Роли сами по себе являются действующим субъектом в AWS наряду с IAM юзерами. В trust policy роли определяется, кто может в нее переключаться (т.н. AssumeRole). Это могут быть юзеры (в т.ч. из других аккаунтов), другие роли или сервисы AWS.
Тогда одно без другого может существовать :) или я опять все не так поняла ..
Обсуждают сегодня