要將ec2實例連接到S3或RDS,我通常需要爲ec2實例提供具有適當權限的角色,對不對?AWS安全組和IAM角色
如果我在一個SecurityGroup中有我的ec2實例並且在另一個安全組中有s3/RD3,是不是隻給S3/RDS角色和ec2權限就足夠了?
試圖瞭解何時應使用角色與安全組來允許各種AWS資源相互通信。
要將ec2實例連接到S3或RDS,我通常需要爲ec2實例提供具有適當權限的角色,對不對?AWS安全組和IAM角色
如果我在一個SecurityGroup中有我的ec2實例並且在另一個安全組中有s3/RD3,是不是隻給S3/RDS角色和ec2權限就足夠了?
試圖瞭解何時應使用角色與安全組來允許各種AWS資源相互通信。
注EC2和RDS(和紅移和Elasticache ......)怎麼是存在於你的VPC服務器,並且通過使直接網絡連接到這些服務器與這些資源進行交互。因此,您可以通過安全組保護網絡的安全。
請注意,您對S3(或DynamoDB或SQS或SNS ...)資源所處的服務器沒有可見性,這些資源不在VPC內部運行,您只能通過AWS與這些資源進行交互API。因此,您可以通過AWS Identity and Access Management(IAM)保護對AWS API的訪問權限。
角色和安全組有兩個不同的用途。
角色
角色用於授予權限,以EC2實例執行某些AWS API調用。
它不參與網絡安全。
安全組
安全組就成爲網絡安全的一部分,他們不玩在EC2權限的部分訪問API。當你需要給一個實例的權限來執行的API函數,諸如訪問S3,或控制RDS實例(未查詢數據)
Conslusion
使用EC2作用。
當您需要授予實例訪問網絡資源的權限時(例如在RDS實例中查詢數據時)使用安全組。