IAM 角色和策略如何深入工作？

Question

IAM 角色和策略如何深入工作？

Accepted Answer

超越基础 IAM，理解 **roles**（假定的身份）、**policy types 和 evaluation**（权限如何确定）以及 **cross-account access** 和 **service roles** 等模式对于安全、架构良好的 AWS 访问管理很重要。

## 深入了解 Roles — 谁假定什么

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Policy 类型

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Policy evaluation（如何决定访问权限）

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## 为什么这很重要

深入理解 IAM 角色和策略对于 **安全、架构良好的 AWS 访问管理** 很重要，因此这是超越 IAM 基础的宝贵知识。

深入理解 **roles** — 其 **trust policy**（谁可以假定该角色）和 **permission policies**（它可以做什么）— 是最重要的安全访问模式的关键：**service roles**（让 EC2 实例和 Lambda 函数通过临时、自动轮换的凭证而不是嵌入的长期密钥访问 AWS 资源 — 一个关键的安全实践）、**cross-account access**（通过角色假定在 AWS 账户间进行受控访问）和 **federation/SSO**（外部身份假定角色获得临时访问权限）。

Roles 提供临时凭证而不是长期密钥是一个基础性的安全改进。

理解 **policy types** — identity-based（用户/角色可以做什么）、resource-based（如 S3 bucket policies 控制谁可以访问资源）、permission boundaries（限制委派权限）和 SCPs（组织级护栏）— 对于真实组织中的复杂访问控制是必要的。

理解 **policy evaluation logic**（默认拒绝；任何地方的显式拒绝总是生效；你需要在任何边界内有显式允许且没有拒绝）对于正确推理实际结果的权限至关重要 — 这是常见困惑之源，误解会导致访问过于宽泛（安全风险）或意外拒绝（操作摩擦）。

由于安全访问管理对 AWS 安全至关重要（IAM 配置错误是违规的主要原因），并且由于深入理解 roles（用于安全的无凭证访问模式）、policy types（用于分层控制）和 policy evaluation（用于正确的权限推理）对于架构良好、安全的访问是必要的，深入理解 IAM 角色和策略是宝贵的、实际重要的 AWS 安全知识 — 在 IAM 基础之上构建，以实现安全访问模式和正确的权限推理（专业 AWS 安全所需），这是一个重要领域，其中理解的深度直接影响安全态势。