“root帐户凭据”和“IAM用户凭据”之间有什么区别?
还有一个问题:
根据说明,建议使用“IAM用户凭据”但无法使用“IAM用户凭据”在S3中访问
你能解释一下这是为什么吗?
答案 0 :(得分:4)
您的根凭据是您通过其注册提供卡和结算明细的凭据。 IAM用户帐户是您可以为AWS提供的各个服务创建的用户帐户。
假设这种情况,您是产品公司的首席执行官并且您注册AWS,提供您的邮件地址,卡和账单明细,并且您有开发人员为您工作,开发应用程序,在AWS中部署它们。您无法将您刚刚创建的AWS账户(您的根凭据)与您的开发人员或devops共享,并要求他们部署应用。这对您来说是一个巨大的安全风险。相反,您可以创建IAM用户,附加组级策略或用户级策略,并与它们共享这些IAM帐户。组级别和用户级别策略将个人IAM用户限制并授权给您的用户帐户下的AWS服务。了解并使用IAM作为您的AWS账户非常重要。 http://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html
IAM S3访问:如果您授权并为IAM用户分配所需的策略,它应该可以正常工作。您可以使用https://policysim.aws.amazon.com/home/index.jsp模拟IAM用户的政策(请先登录)。
希望这会有所帮助
答案 1 :(得分:2)
来自Amazon:
所有AWS账户都拥有root帐户凭据。这些凭据 允许完全访问帐户中的所有资源。因为你做不到 您应该控制root帐户凭据的权限 将它们存储在安全的地方,而不是使用AWS Identity and Access 管理(IAM)用户凭证,用于与AWS的日常交互。
借助IAM,您可以安全地控制对AWS服务的访问 您的AWS账户中的用户资源。例如,如果您需要 管理员级权限,您可以创建IAM用户,授予 该用户完全访问权限,然后使用这些凭据进行交互 AWS。稍后,如果您需要撤销或修改权限,则可以 删除或修改与该IAM用户关联的任何策略。
您的第二个问题仍未解决:Unable to access any S3 resource when using IAM user credentials?
答案 2 :(得分:1)
使用根帐户可以执行某些操作,而对于根帐户,您可以不能使用管理员进行操作。例如,您不能创建或删除account wide Budgets或启用MFA delete作为S3存储桶。