Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Option 2: Anwendungen können nur die Rolle übernehmen, die in der Vertrauensrichtlinie vorgesehen ist
In diesem Szenario wurden zwei Zertifikate in AWS Certificate Manager (ACM) von den Anwendungen bereitgestellt AWS Private Certificate Authority und mit diesen geteilt, die Zugriff auf Ressourcen benötigen. AWS **Anwendung 1** kann nur **Rolle 1** übernehmen, und **Anwendung 2** kann nur **Rolle** 2 übernehmen. In der Rollenvertrauensrichtlinie konfigurieren Sie die Felder für den Betreff des Zertifikats als Bedingungen. Diese Bedingungen ermöglichen es der Anwendung, nur eine bestimmte Rolle anzunehmen. Aufgrund der Rollenberechtigungen kann nur **Anwendung 1** auf **Bucket 1** zugreifen, und nur **Anwendung 2** kann auf **Bucket 2** zugreifen. Die folgende Abbildung zeigt den Zugriff, den jede Anwendung hat.
Bei dieser Option konfigurieren Sie die Vertrauensrichtlinien so, dass sie `AssumeRole` nur zulässig sind, wenn bestimmte Zertifikatsattribute erfüllt sind. Das Beispiel für eine Vertrauensrichtlinie für Rollen zeigt, wie der `Condition` Abschnitt so konfiguriert wird, dass ein bestimmter allgemeiner Name (`CN`) für das Zertifikat erforderlich ist, was sich für **Rolle 1** und **Rolle 2** unterscheidet. Jede Anwendung kann eine bestimmte Rolle übernehmen, da sie eine Vertrauensstellung mit IAM Roles Anywhere hat AWS Private CA. Dieser Ansatz trägt dazu bei, unbefugten Zugriffen auf Rollen und Daten zu verhindern, da die Anwendung keine Rolle übernehmen kann, die mit dem Zielprofil verknüpft ist. Sie können beispielsweise Geschäftsdaten in verschiedene Bereiche unterteilen, Rollen so konfigurieren, dass nur auf einen dieser Bereiche zugegriffen werden kann, und anschließend zertifikatsbasierte Zugriffskontrollen in der Vertrauensrichtlinie verwenden, um zu definieren, welche Rolle die Anwendung übernehmen kann.
Die folgende Beispiel-Vertrauensrichtlinie für **Rolle 1** hat eine Bedingung, die die Übernahme einer Rolle nur zulässt, wenn der Zertifikatsname `application-1.com` und der Vertrauensanker Amazon Resource Name (ARN) übereinstimmen:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/x509Subject/CN": "application-1.com"
},
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:rolesanywhere:::trust-anchor/"
]
}
}
}
]
}
```
Das folgende Beispiel für eine Vertrauensrichtlinie für **Rolle 2** hat eine Bedingung, die eine Rollenübernahme nur zulässt, wenn der Zertifikatsname lautet `application-2.com` und wenn der Vertrauensanker ARN übereinstimmt:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/x509Subject/CN": "application-2.com"
},
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:rolesanywhere:::trust-anchor/"
]
}
}
}
]
}
```
Weitere Informationen zu Vertrauensrichtlinien für Rollen und dazu, wie Sie diese Beispiele ändern können, finden Sie in der IAM Roles Anywhere Dokumentation unter [Vertrauensrichtlinie](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/trust-model.html#trust-policy).
Beispiele für Rollen- und Profilrichtlinien für **Anwendung 1** und **Anwendung 2** finden Sie im Abschnitt [Anhang: Beispielprofil- und Rollenrichtlinien](appendix-sample-policies.md) dieses Handbuchs.