问可以将角色分配给AWS中的用户和组吗？

EN

角色是一组绑定在一起并链接到特定实体(AWS服务、AWS帐户或web标识)的策略，而不是针对IAM用户或组的策略。

如果您想一想，IAM用户/组可能是一个角色，因为它附带了一组策略，供使用指定凭据登录的开发人员使用。

另外，如果您尝试使用AWS控制台，您会发现您不能将角色附加到用户和组，而只能是策略。

简短回答:不！

您对这些术语的定义有点混淆：

• IAM用户=具有登录凭据的单个帐户，例如JohnDoe
• IAM角色=没有凭据的单一帐户，为AWS参考资料“假定”创建，例如，运行web服务的EC2实例可以使用MyWebServerRole
• IAM =一个IAM用户集合，例如WebAdmins可以对该组具有特殊权限，并且可以根据需要添加或删除IAM用户，就像AD一样。
• IAM =资源访问规则，例如列出EC2实例。

将策略添加到用户、角色或组中，以授予他们在策略.中指定的权限。

如果你正在学习你的副考试，你也应该阅读AWS常见问题和AWS白皮书。它们是为考试做准备的最好的材料。

在回答这类问题时，IAM常见问题是非常清楚的：

问:什么是组？A组是IAM用户的集合。将组成员管理为一个简单列表:将用户添加到组中或从组中删除用户。用户可以属于多个组。组不能属于其他组。可以使用访问控制策略授予组权限。这样就可以更容易地管理用户集合的权限，而不是必须管理每个单独用户的权限。组没有安全凭据，不能直接访问web服务；它们的存在仅仅是为了更容易地管理用户权限。有关详细信息，请参阅使用组和用户。 Q:什么是角色？角色是一个IAM实体，它定义了一组权限来进行服务请求。IAM角色不与特定用户或组相关联。相反，受信任的实体承担角色，如IAM用户、应用程序或AWS服务(如EC2 )。 Q: IAM角色和IAM用户之间有什么区别？是一个IAM用户，它具有永久的长期凭证，用于直接与AWS服务交互。IAM角色没有任何凭据，不能直接请求AWS服务。IAM角色是由授权实体承担的，如IAM用户、应用程序或AWS服务(如EC2 )。 Q:权限是如何工作的？访问控制策略附加到用户、组和角色，以便为资源分配权限。默认情况下，IAM用户、组和角色没有权限；具有足够权限的用户必须使用策略来授予所需权限。 Q:如何使用策略分配权限？设置权限，您可以使用assign、IAM或AWS创建和附加策略。已被授予必要权限的用户可以创建策略，并将其分配给IAM用户、组和角色。