2
AWS IAM Mavens,AWS IAM에서 "경로"변수의 목적/용도는 무엇입니까?
IAM에서 CLI 또는 API를 통해 IAM 사용자를 생성 할 때 "경로"변수의 목적/용도는 무엇입니까?
감사합니다.
A
답변
1
IAM의 경로 변수는 일반적으로 조직적 목적으로 고유 한 네임 스페이스에서 관련 사용자 및 그룹을 그룹화하는 데 사용됩니다. Friendly Names and Paths에서
:
는 IAM API를 사용하거나 AWS 명령 줄 인터페이스 (AWS CLI)는 IAM 엔티티를 생성 할 경우, 당신은 또한 엔티티를 선택 경로를 제공 할 수 있습니다. 단일 경로를 사용하거나 여러 경로를 폴더 구조처럼 중첩시킬 수 있습니다. 예를 들어, 회사의 조직 구조와 일치 시키려면 중첩 경로/division_abc/subdivision_xyz/product_1234/engineering /을 사용할 수 있습니다. 그러면 해당 경로의 모든 사용자가 정책 시뮬레이터 API에 액세스 할 수 있도록 허용하는 정책을 만들 수 있습니다. 이 정책을 보려면 IAM : 사용자 경로에 따라 정책 시뮬레이터 API에 액세스를 참조하십시오. 경로를 사용하는 방법에 대한 추가 예제는 IAM ARN을 참조하십시오.
예를 들어, 큰 조직에는/WestRegion/AZ 및/EastRegion/NY의 경로가있는 사용자가있을 수 있습니다. 이는 조직의 내부 부서에 해당합니다. 여기
은 상기 문서의 몇 가지 예주어진 계정 밥이라고 불리는 IAM 사용자 :
arn:aws:iam::123456789012:user/Bob
조직도 반사 경로와 또 다른 사용자 밥 :
arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bob
IAM 그룹 :
arn:aws:iam::123456789012:group/Developers
IAM 그룹 :이 메타 데이터는 콘솔에 노출되지 않도록
arn:aws:iam::123456789012:group/division_abc/subdivision_xyz/product_A/Developer
참고. 내 생각에 사용자 path은 대개 AWS 리소스를 관리하기 위해 CloudFormation 및/또는 AWS CLI에 의존하는 대규모 조직 또는 고급 사용자에게 더 적합합니다. 예를 들어 --path-prefix은 aws iam list-users의 매개 변수입니다.
이
http://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html 로드리고를 참조, 메모 주셔서 감사합니다 (그리고, 안심하십시오, 나는 당신이 인용 된 IAM 매뉴얼의 일부에 대해 잘 알고 있었다). IAM 경로를 설명하는 방법을 감안할 때 AWS의 다른 곳에서 사용되는 "태그"와 유사합니다 (선택 사항 인 계층 구조 추가 가능성). 이것이 귀하의 해석입니다. 콘솔을 통해 경로를 프로비저닝/조작 할 수없는 이유는 무엇입니까? –
예 태그와 다소 비슷하지만 경로/폴더와 비슷합니다. 그들이 콘솔에 노출되지 않은 이유는 일반적으로 CloudFormation과 CLI에 의존하는 대규모 조직에 더 적합하다는 것입니다. 두 가지 모두에 사용됩니다. '--path-prefix'는'aws iam list-users'에 대한 매개 변수입니다. http://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html을 참조하십시오. –