Option 1: Anwendungen können jede Rolle übernehmen, die mit einem IAM Roles Anywhere Profil verknüpft ist - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Option 1: Anwendungen können jede Rolle übernehmen, die mit einem IAM Roles Anywhere Profil verknüpft ist

In diesem Szenario wurden zwei Zertifikate in AWS Certificate Manager (ACM) von der AWS Private Certificate Authority Instanz aus bereitgestellt und mit den Anwendungen geteilt, die Zugriff auf Ressourcen benötigen. AWS Diese Anwendungen können jede Rolle übernehmen, die mit einem IAM Roles Anywhere Profil verknüpft ist. Dies liegt daran, dass die Vertrauensrichtlinie nicht einschränkt, welche Anwendung sie übernehmen kann.

Anmerkung

In diesem Szenario ist es nicht erforderlich, dass die Anwendungen über separate Zertifikate verfügen. Sie könnten ein einzelnes Zertifikat gemeinsam nutzen.

Wenn eine Anwendung eine Rolle übernimmt, entsprechen die Berechtigungen der Konvergenz dessen, was sowohl in der IAM-Rolle als auch im IAM Roles Anywhere Profil ausdrücklich erlaubt ist. Mit diesem Ansatz können Sie die Sitzungsberechtigungen über IAM Roles Anywhere Profile einschränken, unabhängig von den anderen Berechtigungen, die in der IAM-Rolle zulässig sind.

Die folgende Abbildung zeigt den Zugriff, den jede Anwendung hat. Anwendungen wird der Zugriff auf einige AWS Ressourcen verweigert, da ihnen sowohl in der IAM-Rolle als auch im IAM Roles Anywhere Profil nicht explizit Zugriff gewährt wird. Wenn der Credential Helper-Aufruf den Amazon-Ressourcennamen (ARN) für Rolle 1 enthält, werden der Anwendung temporäre Sicherheitsanmeldedaten für den Zugriff auf Bucket 1 über Rolle 1 gewährt. Wenn der Credential Helper-Aufruf den ARN für Rolle 2 enthält, werden der Anwendung temporäre Sicherheitsanmeldeinformationen für den Zugriff auf Bucket 2 über Rolle 2 gewährt.

Anwendungen verwenden dasselbe Zertifikat und können auf mehrere Rollen zugreifen. Profile schränken den Zugriff ein.

Die Vertrauensrichtlinien für Rolle 1 und Rolle 2 sind so konfiguriert, dass Sie IAM Roles Anywhere die Rolle übernehmen, die Quellidentität festlegen und die Sitzungen taggen können. Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie, die es den Anwendungen ermöglicht, jede Rolle zu übernehmen, die mit einem IAM Roles Anywhere Profil verknüpft ist:

{
  "Version": "2012-10-17", 		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rolesanywhere.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "sts:SourceIdentity": [
            "${sourceIdentityPrefix}${sourceIdentityValue}"
          ]
        }
      }
    }
  ]
}

Weitere Informationen zu Vertrauensrichtlinien für Rollen und dazu, wie Sie dieses Beispiel ändern können, finden Sie in der IAM Roles Anywhere Dokumentation unter Vertrauensrichtlinie.

Beispiele für Rollen- und Profilrichtlinien für Anwendung 1 und Anwendung 2 finden Sie im Abschnitt Anhang: Beispielprofil- und Rollenrichtlinien dieses Handbuchs.