IAM角色

Identity-based policy，它关联到特定的User/Role/Group上，指定这些主体能对哪些资源进行怎样的操作
Resource-based policy，它关联到具体的AWS资源上，指定哪些主体可以对这个资源做怎样的操作

aws受信任关系视为aws服务可以实现（承担角色）您授予的权限。例如，从s3读取存储桶权限的角色，ec2是该角色中的受信任关系，则只有ec2实例可以实现此角色并且可以访问此s3存储桶，aws中（如 rds / elasticsearch / amplify 等）等服务不可能承担此角色并获取此应用程序的配置文件。
创建一个名为“my-app-role”的角色，其中包含多个策略，其中一个是s3策略，可以访问s3资源“configuration-for-app”并具有仅获取它的明确权限（不删除我，不改变它 - 只是得到它）。
应用程序在ec2上运行，这些服务之间的此要求中的受信任关系将是<ec2> -> <s3>，我在 ec2 上运行的应用程序可以假设角色（my-app-role）并访问（其中包含正确的策略）到 s3 并获得配置文件。
该角色包含此策略：
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "s3:GetObject"
      "Resource": "arn:aws:s3:::configuration-for-app/*"
    }
  ]
}
受信任的策略是：
 {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
 

一文搞懂 AWS IAM 权限 基础篇下 实战 - 知乎