Architecture pour les contrôles d'accès basés sur des certificats dans AWS - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Architecture pour les contrôles d'accès basés sur des certificats dans AWS

Vous pouvez l'utiliser AWS Identity and Access Management Roles Anywhere pour obtenir des informations d'identification de sécurité temporaires dans Gestion des identités et des accès AWS (IAM) pour des charges de travail telles que des serveurs, des conteneurs et des applications exécutées en dehors de. AWS Vos charges de travail peuvent utiliser les mêmes politiques IAM et les mêmes rôles IAM que ceux que vous utilisez pour accéder aux ressources. AWS IAM Roles Anywhere élimine le besoin de gérer les informations d'identification à long terme pour les charges de travail qui fonctionnent en dehors de AWS Cloud.

Pour être utilisées IAM Roles Anywhere, vos charges de travail doivent utiliser des certificats X.509 émis par votre autorité de certification (CA). Vous enregistrez l'autorité de certification IAM Roles Anywhere comme point d'ancrage de confiance pour établir la confiance entre votre infrastructure à clé publique et IAM Roles Anywhere. Dans ce guide, vous utilisez AWS Autorité de certification privée (AWS CA privée) comme autorité de certification, puis établissez un lien de confiance avec IAM Roles Anywhere. Dans le contexte de IAM Roles Anywhere, AWS CA privée sert de source fiable pour l'émission de certificats dotés d'attributs spécifiques qui peuvent être utilisés pour contrôler l'accès aux AWS ressources par le biais de politiques précises.

Ce guide propose deux options différentes pour configurer l'accès basé sur des certificats aux AWS ressources de la cible Compte AWS et. Région AWS Le schéma suivant montre les ressources communes aux deux options. AWS CA privée est configuré dans le même compte et dans la même région où IAM Roles Anywhere il est déployé. Un point d'ancrage de confiance existe entre IAM Roles Anywhere et AWS CA privée. Par défaut, tous les certificats AWS CA privée générés sont autorisés à être utilisés pendant le processus de signature et sont stockés dans AWS Certificate Manager (ACM). Dans le cadre de ce guide, les applications accèdent à un ou plusieurs compartiments Amazon Simple Storage Service (Amazon S3) situés dans le. Compte AWS

IAM Roles Anywhere déployé dans le même compte et dans la même région que AWS CA privée.

L'architecture doit présenter les caractéristiques suivantes :

  • Certificats — Vous pouvez utiliser ACM pour générer des certificats. ACM étant un service régional, il doit être déployé de la même manière Région AWS que AWS CA privée. En raison des limites liées aux comptes multiples, nous vous recommandons de déployer ACM sur le même compte que. AWS CA privée Pour plus d'informations, consultez la section Conditions d'utilisation AWS CA privée pour signer des certificats privés ACM dans la documentation d'ACM.

  • Une autorité de certification : vous pouvez utiliser AWS CA privée ou utiliser une autorité de certification externe. Comme il AWS CA privée s'agit d'un service régional, il doit être déployé au même Région AWS titre qu'ACM et les certificats.

  • Rôles IAM : associez les politiques et autorisations IAM aux rôles IAM, en fonction des exigences commerciales ou des cas d'utilisation de votre organisation. Pour plus d'informations, consultez la section Création de rôles IAM dans la documentation IAM.

  • IAM Roles Anywhere profils — Configurez des profils pour spécifier les rôles IAM Roles Anywhere assumés et ce que vos charges de travail peuvent faire avec les informations d'identification temporaires. Dans le profil, définissez les politiques de session IAM afin de limiter les autorisations créées pour une session. Pour plus d'informations, consultez la section Configurer les rôles dans la IAM Roles Anywhere documentation.

  • Outil d'aide aux informations d'identification — Utilisez l'outil d'aide aux informations d'identification fourni pour obtenir IAM Roles Anywhere des informations d'identification de sécurité temporaires. Pour plus d'informations, consultez la section Obtenir des informations d'identification de sécurité temporaires IAM Roles Anywhere dans la IAM Roles Anywhere documentation.

Pour déléguer l'autorisation d'accéder à une ressource IAM Roles Anywhere, vous créez un rôle IAM doté d'une politique d'autorisation et d'une politique de confiance. Une politique d'autorisations accorde à l'entité supposée les autorisations nécessaires pour effectuer les tâches prévues sur la ressource. Une politique de confiance indique quels membres du compte de confiance sont autorisés à assumer ce rôle. Dans ce guide, les politiques d'autorisation définissent les compartiments Amazon S3 auxquels l'entité peut accéder, et les politiques de confiance définissent l'application qui peut assumer ce rôle.

Ce guide couvre les scénarios suivants pour illustrer les options de configuration pour les politiques de confiance des rôles IAM :

Conditions préalables

Pour configurer ces options, vous devez effectuer les opérations suivantes :

  • Une application externe qui nécessite l'accès aux ressources de votre appareil Compte AWS et de votre cible Région AWS.

  • L'autorité de certification est configurée dans la même région que IAM Roles Anywhere. Pour obtenir des instructions sur la configuration AWS Autorité de certification privée, reportez-vous à la section Mise en route avec IAM Roles Anywhere.

  • Vous avez délivré un certificat pour l'application. Pour plus d'informations et d'instructions, consultez la section AWS Certificate Manager Certificats.