Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Option 2: Anwendungen können nur die Rolle übernehmen, die in der Vertrauensrichtlinie vorgesehen ist
In diesem Szenario wurden zwei Zertifikate in AWS Certificate Manager (ACM) von den Anwendungen bereitgestellt AWS Private Certificate Authority und mit diesen geteilt, die Zugriff auf Ressourcen benötigen. AWS Anwendung 1 kann nur Rolle 1 übernehmen, und Anwendung 2 kann nur Rolle 2 übernehmen. In der Rollenvertrauensrichtlinie konfigurieren Sie die Felder für den Betreff des Zertifikats als Bedingungen. Diese Bedingungen ermöglichen es der Anwendung, nur eine bestimmte Rolle anzunehmen. Aufgrund der Rollenberechtigungen kann nur Anwendung 1 auf Bucket 1 zugreifen, und nur Anwendung 2 kann auf Bucket 2 zugreifen. Die folgende Abbildung zeigt den Zugriff, den jede Anwendung hat.
Bei dieser Option konfigurieren Sie die Vertrauensrichtlinien so, dass sie AssumeRole nur zulässig sind, wenn bestimmte Zertifikatsattribute erfüllt sind. Das Beispiel für eine Vertrauensrichtlinie für Rollen zeigt, wie der Condition Abschnitt so konfiguriert wird, dass ein bestimmter allgemeiner Name (CN) für das Zertifikat erforderlich ist, was sich für Rolle 1 und Rolle 2 unterscheidet. Jede Anwendung kann eine bestimmte Rolle übernehmen, da sie eine Vertrauensstellung mit IAM Roles Anywhere hat AWS Private CA. Dieser Ansatz trägt dazu bei, unbefugten Zugriffen auf Rollen und Daten zu verhindern, da die Anwendung keine Rolle übernehmen kann, die mit dem Zielprofil verknüpft ist. Sie können beispielsweise Geschäftsdaten in verschiedene Bereiche unterteilen, Rollen so konfigurieren, dass nur auf einen dieser Bereiche zugegriffen werden kann, und anschließend zertifikatsbasierte Zugriffskontrollen in der Vertrauensrichtlinie verwenden, um zu definieren, welche Rolle die Anwendung übernehmen kann.
Die folgende Beispiel-Vertrauensrichtlinie für Rolle 1 hat eine Bedingung, die die Übernahme einer Rolle nur zulässt, wenn der Zertifikatsname application-1.com und der Vertrauensanker Amazon Resource Name (ARN) übereinstimmen:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:PrincipalTag/x509Subject/CN": "application-1.com" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:rolesanywhere:<region>:<account-ID>:trust-anchor/<TA_ID>" ] } } } ] }
Das folgende Beispiel für eine Vertrauensrichtlinie für Rolle 2 hat eine Bedingung, die eine Rollenübernahme nur zulässt, wenn der Zertifikatsname lautet application-2.com und wenn der Vertrauensanker ARN übereinstimmt:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:PrincipalTag/x509Subject/CN": "application-2.com" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:rolesanywhere:<region>:<account-ID>:trust-anchor/<TA_ID>" ] } } } ] }
Weitere Informationen zu Vertrauensrichtlinien für Rollen und dazu, wie Sie diese Beispiele ändern können, finden Sie in der IAM Roles Anywhere Dokumentation unter Vertrauensrichtlinie.
Beispiele für Rollen- und Profilrichtlinien für Anwendung 1 und Anwendung 2 finden Sie im Abschnitt Anhang: Beispielprofil- und Rollenrichtlinien dieses Handbuchs.
