Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Arquitectura para controles de acceso basados en certificados en AWS
Puede utilizarlas AWS Identity and Access Management Roles Anywhere para obtener credenciales de seguridad temporales en AWS Identity and Access Management (IAM) para cargas de trabajo como servidores, contenedores y aplicaciones que se ejecutan fuera de ellas. AWS Sus cargas de trabajo pueden usar las mismas políticas y funciones de IAM que usted usa para acceder a los recursos. AWS IAM Roles Anywhere elimina la necesidad de gestionar las credenciales a largo plazo para las cargas de trabajo que funcionan fuera del. Nube de AWS
Para poder IAM Roles Anywhere utilizarlos, sus cargas de trabajo deben utilizar certificados X.509 emitidos por su autoridad de certificación (CA). Debe registrar la CA IAM Roles Anywhere como ancla de confianza para establecer la confianza entre su infraestructura de clave pública y. IAM Roles Anywhere En esta guía, utiliza AWS Private Certificate Authority (AWS Private CA) como CA y, a continuación, establece una relación de confianza con IAM Roles Anywhere ella. En el contexto de IAM Roles Anywhere, AWS Private CA sirve como fuente confiable para emitir certificados con atributos específicos que se pueden utilizar para controlar el acceso a AWS los recursos mediante políticas detalladas.
Esta guía proporciona dos opciones diferentes para configurar el acceso basado en certificados a AWS los recursos del destino y. Cuenta de AWS Región de AWS El siguiente diagrama muestra los recursos que son comunes a ambas opciones. AWS Private CA está configurado en la misma cuenta y región en la que IAM Roles Anywhere está desplegado. Existe un ancla de confianza entre IAM Roles Anywhere y AWS Private CA. De forma predeterminada, todos los certificados que se AWS Private CA generan pueden usarse durante el proceso de firma y se almacenan en AWS Certificate Manager (ACM). A los efectos de esta guía, las aplicaciones acceden a uno o más depósitos de Amazon Simple Storage Service (Amazon S3) del. Cuenta de AWS
La arquitectura debe tener las siguientes características:
-
Certificados: puede usar ACM para generar certificados. Como ACM es un servicio regional, debe implementarse de la misma manera Región de AWS que. AWS Private CA Debido a las limitaciones entre cuentas, le recomendamos que implemente ACM en la misma cuenta que. AWS Private CA Para obtener más información, consulte las condiciones de uso AWS Private CA para firmar certificados privados de ACM en la documentación de ACM.
-
Una entidad emisora de certificados: puede utilizar AWS Private CA o utilizar una entidad emisora de certificados externa. Como AWS Private CA es un servicio regional, debe implementarse al Región de AWS igual que ACM y los certificados.
-
Funciones de IAM: asigne las políticas y los permisos de IAM a las funciones de IAM, en función de los requisitos empresariales o de los casos de uso de su organización. Para obtener más información, consulte la creación de roles de IAM en la documentación de IAM.
-
IAM Roles Anywhere perfiles: configure perfiles para especificar qué roles IAM Roles Anywhere asumen y qué pueden hacer sus cargas de trabajo con las credenciales temporales. En el perfil, defina las políticas de sesión de IAM para limitar los permisos creados para una sesión. Para obtener más información, consulte Configurar funciones en la IAM Roles Anywhere documentación.
-
Herramienta de ayuda para credenciales: utilice la herramienta de ayuda para credenciales que se IAM Roles Anywhere proporciona para obtener credenciales de seguridad temporales. Para obtener más información, consulte Obtener credenciales de seguridad temporales en la documentación. IAM Roles Anywhere IAM Roles Anywhere
Para delegar el permiso de acceso a un recurso IAM Roles Anywhere, debe crear un rol de IAM que tenga una política de permisos y una política de confianza. Una política de permisos otorga a la entidad que asume los permisos necesarios para llevar a cabo las tareas previstas en el recurso. Una política de confianza especifica qué miembros de la cuenta de confianza pueden asumir la función. En esta guía, las políticas de permisos definen a qué buckets de Amazon S3 puede acceder la entidad y las políticas de confianza definen qué aplicación puede asumir la función.
En esta guía se describen los siguientes escenarios para ilustrar las opciones de configuración de las políticas de confianza de los roles de IAM:
-
Opción 1: las aplicaciones pueden asumir cualquier función vinculada a un IAM Roles Anywhere perfil— Se han aprovisionado uno o más certificados en ACM desde las aplicaciones que requieren acceso a los recursos AWS Private CA y se han compartido con ellas. AWS Estas aplicaciones pueden asumir cualquier función vinculada a un IAM Roles Anywhere perfil. Esto se debe a que la política de confianza no limita qué aplicación puede asumirla.
-
Opción 2: Las aplicaciones solo pueden asumir la función que permita la política de confianza— Se han aprovisionado dos certificados en ACM desde las aplicaciones que requieren acceso a AWS los recursos AWS Private CA y se han compartido con ellas. Debido a los controles de acceso basados en certificados de las políticas de confianza, la aplicación 1 solo puede asumir la función 1 y la aplicación 2 solo puede asumir la función 2.
Requisitos previos
Para configurar estas opciones, debe completar lo siguiente:
-
Una aplicación externa que requiere acceso a los recursos propios Cuenta de AWS y a los de Target Región de AWS.
-
La autoridad de certificación está configurada en la misma región que IAM Roles Anywhere. Para obtener instrucciones sobre la configuración AWS Private Certificate Authority, consulte Primeros pasos con IAM Roles Anywhere.
-
Ha emitido un certificado para la solicitud. Para obtener más información e instrucciones, consulte AWS Certificate Manager los certificados.
