什么时候使用user，什么时候使用role

什么时候使用IAM user？

我们推荐只有无法使用IAM role的时候才使用IAM user。一些应用场景如下：

• Workload无法使用IAM role时。比如WordPress 插件，需要使用IAM user创建长期凭据访问授权。

• 第三方Amazon客户端。

• Amazon CodeCommit访问时。安装 git-remote-codecommit 并在 Amazon CLI 中配置一个配置文件来配置本地计算机以使用访问凭证。更多详情参见帮助文档。

什么时候使用IAM role？

• 在Amazon EC2上创建应用，并且应用对其他Amazon资源发起请求时；

  • 请勿创建 IAM 用户并将用户的凭证传递给应用程序或将凭证嵌入应用程序。相反，请创建附加到 EC2 实例的 IAM 角色，以便为实例上运行的应用程序提供临时安全凭证。当应用程序在 Amazon 中使用这些凭证时，它可以执行附加到该角色的策略所允许的所有操作。

• 你创建了一个手机移动端app，并且对Amazon资源发起请求：

  • 请勿创建IAM user，并将user's access key和移动端app一起分发。请使用身份提供商（如 Login with Amazon、Amazon Cognito、Facebook 或 Google）对用户进行身份验证并将用户映射到 IAM 角色。

• 你本地环境创建的应用，并希望不需要重新登录可以使用Amazon资源。或者允许真人用户单点登录到Amazon控制台。

  • 不要创建IAM user，在你企业的IdP和AWS之间搭建单点登录。有两种方式：1）如果你企业的身份系统采用SAML2.0，你可以建立你企业的IdP和AWS之间的单点登录。

  • 创建并使用自定义代理服务器，将企业中的用户身份转换为提供临时 Amazon 安全凭证的 IAM 角色。有关更多信息，请参阅启用对 Amazon 控制台的自定义身份代理访问。