Difference between IAM user directly attach policy and IAM user assuming an IAM role
အားလုံးဘဲ မင်္ဂလာပါ။
ဒီနေ့ sharing လုပ်ပေးချင်တာကတော့ IAM user တွေမှာ policy ကို directly attach လုပ်ပြီး သုံးတာနဲ့ Roles ကို assume လုပ်ပြီး သုံးတာ ဘာကွာခြားမှုရှိလဲ ဆိုတာကို ဆွေးနွေးသွားမှာ ဖြစ်ပါတယ်။
IAM user မှာ policy ကို directly attach လုပ်ပြီး သုံးတဲ့ အခါမှာ ဘယ်လို အလုပ်လုပ်သလဲ ဆိုတော့ user သည် long-term credentials (username/password or access key) ကို သုံးပြီး ဝင်ရောက်ပါတယ်။
Long-term credentials ဖြစ်တဲ့ (Username/password or access key )တို့သည် leak ဖြစ်သွားနိုင်ပါသည်။ ထို့ကြောင့် security point of view အရ ကြည့်မယ်ဆိုရင် Risk ရှိနိုင်ပါတယ်။
ဘယ်လိုအခါမျိုးမှာ policy ကို direct attach လုပ်ပြီးသုံးသင့်လဲဆို တော့ user သည် ဒီ permission ကို ဘဲ အမြဲသုံး ဖို့ လိုအပ်တဲ့ အခါမှာ မျိုးမှာ ဖြစ်စေ ၊ minimal permission ဖြစ်တဲ့ read-only access ကိုလိုအပ်တဲ့အခါမျိုးမှာဖြစ်စေ သုံးသင့်ပါတယ်။
E.g - Mg Mg ဆိုတဲ့ user ကို S3RealonlyAccess policy ကို directly attach ပေးထားမယ်ဆို ရင် အဲ့ user login ဝင်တိုင်း S3 Bucket တွေကို အမြဲ readonly access ရနေမှာ ဖြစ်ပါတယ်။
IAM user မှာ Roles ကို assume လုပ်ပြီး သုံးတဲ့ အခါမှာ ဘယ်လို အလုပ်လုပ်သလဲဆိုတော့ user သည် permission တစ်ခုကို ခဏ ငှားသုံး တဲ့ပုံစံနဲ့ အလုပ်လုပ်ပါတယ်။
Credentials အတွက်ကို AWS STS( Security Token Service) ကနေ temporary credentials တစ်ခု ထုတ်ပေးပါတယ်။ အဲ့ credentials သည် time limit ရှိပါသည်။ Temporary credentials ဖြစ်တဲ့ အတွက် security point of view အရ ကြည့်မယ်ဆိုရင် long-term credentials ထက် ပို ပြီး safe ဖြစ်ပါတယ်။
Cross-account access ကို လည်းSupport လုပ်ပေးတဲ့ အတွက် AWS multi-account setup တွေ အတွက် လည်း အဆင်ပြေပါတယ်။
Roles ကို ဘယ်လိုနေရာမျိုးမှာ သုံးသင့်လဲဆိုရင် user တစ်ယောက်ကို permissions အမြဲ ပေးမထားချင်ဘူး၊ လိုအပ်တဲ့ အခါမှ သာ အဲ့ permissions ကို သုံးစေချင်တယ်ဆိုရင် Roles ကို သုံးသင့်ပါတယ်။
e.g - Mg Mg ဆိုတဲ့ user ကို S3FullAccess ပေးချင်တယ် အမြဲတမ်းလည်း မဟုတ်ဘူး လိုအပ်တဲ့အခါမှာ သာ S3Fullaccess ပေးသုံးချင်တယ်ဆိုရင် roles ကို သုံးသင့်ပါတယ်။ ဒီ Roles ကို သုံးလိုက်တဲ့ အချိန်လေးမှာ AWS STS ကနေ ထုတ်ပေးတဲ့ Temporary credentials လေးတစ်ခုကို သုံးပြီး S3FullAccess ရနေမှာဘဲဖြစ်ပါတယ်။
