Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Opción 1: las aplicaciones pueden asumir cualquier función vinculada a un IAM Roles Anywhere perfil
En este escenario, se aprovisionaron dos certificados AWS Certificate Manager (ACM) desde la AWS Private Certificate Authority instancia y se compartieron con las aplicaciones que requieren acceso a los recursos. AWS Estas aplicaciones pueden asumir cualquier función vinculada a un IAM Roles Anywhere perfil. Esto se debe a que la política de confianza no limita qué aplicación puede asumirla.
nota
En este escenario, no es necesario que las aplicaciones tengan certificados independientes. Podrían compartir un único certificado.
Cuando una aplicación asume una función, los permisos son la convergencia de lo que está permitido explícitamente tanto en la función de IAM como en el IAM Roles Anywhere perfil. Con este enfoque, puede limitar los permisos de sesión a través de los IAM Roles Anywhere perfiles, independientemente de los demás permisos permitidos en la función de IAM.
La siguiente imagen muestra el acceso que tiene cada aplicación. A las aplicaciones se les niega el acceso a algunos AWS recursos porque no se les concede acceso de forma explícita tanto en la función de IAM como en el IAM Roles Anywhere perfil. Si la llamada de Credential Helper incluye el nombre de recurso de Amazon (ARN) para la función 1, la aplicación recibe credenciales de seguridad temporales para acceder al bucket 1 a través de la función 1. Si la llamada de Credential Helper incluye el ARN de la función 2, se otorgan a la aplicación credenciales de seguridad temporales para acceder al depósito 2 a través de la función 2.
Las políticas de confianza de las funciones 1 y 2 están configuradas IAM Roles Anywhere para permitir asumir la función, establecer la identidad de origen y etiquetar las sesiones. A continuación se muestra un ejemplo de política de confianza que permite a las aplicaciones asumir cualquier función vinculada a un IAM Roles Anywhere perfil:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "sts:SourceIdentity": [ "${sourceIdentityPrefix}${sourceIdentityValue}" ] } } } ] }
Para obtener más información sobre las políticas de confianza de los roles y cómo se puede modificar este ejemplo, consulte la política de confianza en la IAM Roles Anywhere documentación.
En la sección Apéndice: Ejemplos de políticas de perfil y perfil de esta guía se incluyen ejemplos de políticas de roles y perfiles para la Aplicación 1 y la Aplicación 2.
