每个应用程序的 iam 用户
iam user per application
对于我的业务流程之一,我想为多个应用程序创建 IAM 用户以访问同一资源,我想到了以下选项:
- 创建 1 个 IAM 用户并在企业中的应用程序中使用凭据
- 为每个应用程序创建单独的 IAM 用户并使用各自的凭据
我查看了https://aws.amazon.com/iam/faqs/,其中提到 IAM 用户可以是应用程序或系统。
我了解 1 的优势在于它简化了流程,只需管理一个 IAM 用户。
但是 2 使应用程序彼此独立,并提供对凭据的细粒度控制。
在这种情况下创建 IAM 时遵循的最佳实践是什么?为什么?
总的来说,AWS 更喜欢创建单独的 IAM 用户,以便于管理和审计。您还可以在不影响其他系统用户的情况下撤销对特定应用程序的访问权限。参见 IAM Best Practices。
我也引用了 AWS Security Best Practices 白皮书。
We strongly discourage the use of shared user identities, where
multiple entities share the same credentials.
对于我的业务流程之一,我想为多个应用程序创建 IAM 用户以访问同一资源,我想到了以下选项:
- 创建 1 个 IAM 用户并在企业中的应用程序中使用凭据
- 为每个应用程序创建单独的 IAM 用户并使用各自的凭据
我查看了https://aws.amazon.com/iam/faqs/,其中提到 IAM 用户可以是应用程序或系统。
我了解 1 的优势在于它简化了流程,只需管理一个 IAM 用户。
但是 2 使应用程序彼此独立,并提供对凭据的细粒度控制。
在这种情况下创建 IAM 时遵循的最佳实践是什么?为什么?
总的来说,AWS 更喜欢创建单独的 IAM 用户,以便于管理和审计。您还可以在不影响其他系统用户的情况下撤销对特定应用程序的访问权限。参见 IAM Best Practices。
我也引用了 AWS Security Best Practices 白皮书。
We strongly discourage the use of shared user identities, where multiple entities share the same credentials.