AWS – Resource-based Policies VS IAM Roles

在AWS中，Resource-based Policies和IAM Roles是用于控制访问和权限管理的两种不同机制。它们在使用场景和实现方式上有所不同。

【IAM Roles】
IAM Roles是一种AWS身份，用于授予临时的安全凭证，以允许对AWS服务的访问。

• 跨账户访问：允许一个账户中的资源访问另一个账户中的资源。使用STS（安全令牌服务）颁发的临时凭证来访问资源。

• EC2实例角色：为在EC2实例上运行的应用程序提供访问AWS服务的临时凭证，而无需将长期凭证嵌入代码中。

• AWS服务角色：允许一个AWS服务访问另一个AWS服务。例如，Lambda函数角色允许Lambda函数访问S3桶。

【Resource-based Policies】
Resource-based Policies是直接附加到资源（如S3桶、SNS主题、SQS队列等）上的策略。这些策略定义了谁可以访问资源以及可以执行哪些操作

• 跨账户访问：允许其他AWS账户中的用户或角色访问你的资源。

• 共享资源访问：允许特定的用户或角色访问共享的资源。