Architektur für zertifikatsbasierte Zugriffskontrollen in AWS - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Architektur für zertifikatsbasierte Zugriffskontrollen in AWS

Sie können AWS Identity and Access Management Roles Anywhere damit temporäre Sicherheitsanmeldedaten in AWS Identity and Access Management (IAM) für Workloads wie Server, Container und Anwendungen abrufen, die außerhalb von ausgeführt werden. AWS Ihre Workloads können dieselben IAM-Richtlinien und IAM-Rollen verwenden, die Sie für den Zugriff auf Ressourcen verwenden. AWS IAM Roles Anywhere macht die Verwaltung langfristiger Anmeldeinformationen für Workloads überflüssig, die außerhalb von ausgeführt werden. AWS Cloud

Zur Verwendung IAM Roles Anywhere müssen Ihre Workloads X.509-Zertifikate verwenden, die von Ihrer Zertifizierungsstelle (CA) ausgestellt wurden. Sie registrieren die CA IAM Roles Anywhere als Vertrauensanker, um Vertrauen zwischen Ihrer Public-Key-Infrastruktur und herzustellen. IAM Roles Anywhere In diesem Handbuch verwenden Sie AWS Private Certificate Authority (AWS Private CA) als Zertifizierungsstelle und stellen dann eine Vertrauensstellung mit her. IAM Roles Anywhere AWS Private CA Dient im Kontext von IAM Roles Anywhere als vertrauenswürdige Quelle für die Ausstellung von Zertifikaten mit bestimmten Attributen, die zur Steuerung des Zugriffs auf AWS Ressourcen mithilfe detaillierter Richtlinien verwendet werden können.

Dieses Handbuch bietet zwei verschiedene Optionen für die Konfiguration des zertifikatsbasierten Zugriffs auf die AWS Ressourcen im Ziel und. AWS-Konto AWS-Region Das folgende Diagramm zeigt die Ressourcen, die beiden Optionen gemeinsam sind. AWS Private CA ist in demselben Konto und in derselben Region eingerichtet, in der IAM Roles Anywhere es bereitgestellt wird. Zwischen IAM Roles Anywhere und besteht ein Vertrauensanker AWS Private CA. Standardmäßig dürfen alle AWS Private CA generierten Zertifikate während des Signaturvorgangs verwendet werden und werden in AWS Certificate Manager (ACM) gespeichert. Für die Zwecke dieses Handbuchs greifen die Anwendungen auf einen oder mehrere Amazon Simple Storage Service (Amazon S3) -Buckets im AWS-Konto zu.

IAM Roles Anywhere im selben Konto und in derselben Region bereitgestellt wie AWS Private CA.

Die Architektur muss die folgenden Funktionen aufweisen:

  • Zertifikate — Sie können ACM verwenden, um Zertifikate zu generieren. Da es sich bei ACM um einen regionalen Dienst handelt, muss er genauso wie AWS-Region bereitgestellt werden. AWS Private CA Aufgrund kontoübergreifender Einschränkungen empfehlen wir, ACM im selben Konto wie bereitzustellen. AWS Private CA Weitere Informationen finden Sie in der ACM-Dokumentation unter Bedingungen für AWS Private CA die Verwendung zum Signieren von privaten ACM-Zertifikaten.

  • Eine Zertifizierungsstelle — Sie können eine externe Zertifizierungsstelle verwenden AWS Private CA oder verwenden. Da AWS Private CA es sich um einen regionalen Dienst handelt, muss er genauso AWS-Region wie ACM und die Zertifikate bereitgestellt werden.

  • IAM-Rollen Ordnen Sie IAM-Richtlinien und -Berechtigungen den IAM-Rollen zu, je nach den Geschäfts- oder Anwendungsfallanforderungen Ihres Unternehmens. Weitere Informationen finden Sie in der IAM-Dokumentation unter Erstellung von IAM-Rollen.

  • IAM Roles Anywhere Profile — Richten Sie Profile ein, um anzugeben, welche Rollen IAM Roles Anywhere angenommen werden und was Ihre Workloads mit den temporären Anmeldeinformationen machen können. Definieren Sie im Profil IAM-Sitzungsrichtlinien, um die für eine Sitzung erstellten Berechtigungen einzuschränken. Weitere Informationen finden Sie in der IAM Roles Anywhere Dokumentation unter Rollen konfigurieren.

  • Credential Helper-Tool — Verwenden Sie das Credential Helper-Tool, das IAM Roles Anywhere Ihnen zur Verfügung steht, um temporäre Sicherheitsanmeldeinformationen zu erhalten. Weitere Informationen finden Sie in der Dokumentation unter Temporäre Sicherheitsanmeldedaten abrufen von IAM Roles Anywhere. IAM Roles Anywhere

Um die Zugriffsberechtigung für eine Ressource zu delegieren IAM Roles Anywhere, erstellen Sie eine IAM-Rolle mit einer Berechtigungsrichtlinie und einer Vertrauensrichtlinie. Eine Berechtigungsrichtlinie gewährt der übernehmenden Entität die erforderlichen Berechtigungen, um die vorgesehenen Aufgaben auf der Ressource auszuführen. Eine Vertrauensrichtlinie legt fest, welche vertrauenswürdigen Kontomitglieder die Rolle übernehmen dürfen. In diesem Handbuch definieren die Berechtigungsrichtlinien, auf welche Amazon S3 S3-Buckets die Entität zugreifen kann, und die Vertrauensrichtlinien definieren, welche Anwendung die Rolle übernehmen kann.

In diesem Handbuch werden die folgenden Szenarien behandelt, um die Konfigurationsoptionen für die Vertrauensrichtlinien für IAM-Rollen zu veranschaulichen:

Voraussetzungen

Um diese Optionen einzurichten, müssen Sie die folgenden Schritte ausführen:

  • Eine externe Anwendung, die Zugriff auf Ressourcen in Ihrem AWS-Konto und Ihrem Ziel benötigt AWS-Region.

  • Die Zertifizierungsstelle ist in derselben Region eingerichtet wie IAM Roles Anywhere. Anweisungen zur Einrichtung finden Sie AWS Private Certificate Authority unter Erste Schritte mit IAM Roles Anywhere.

  • Sie haben ein Zertifikat für die Anwendung ausgestellt. Weitere Informationen und Anweisungen finden Sie unter AWS Certificate Manager Zertifikate.