Option 1 : Les applications peuvent assumer n'importe quel rôle lié à un IAM Roles Anywhere profil - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Option 1 : Les applications peuvent assumer n'importe quel rôle lié à un IAM Roles Anywhere profil

Dans ce scénario, deux certificats ont été fournis AWS Certificate Manager (ACM) depuis l' AWS Autorité de certification privée instance et partagés avec les applications nécessitant un accès aux AWS ressources. Ces applications peuvent assumer n'importe quel rôle lié à un IAM Roles Anywhere profil. Cela est dû au fait que la politique de confiance ne limite pas l'application qui peut l'assumer.

Note

Dans ce scénario, il n'est pas nécessaire que les applications possèdent des certificats distincts. Ils pouvaient partager un seul certificat.

Lorsqu'une application assume un rôle, les autorisations sont la convergence de ce qui est explicitement autorisé à la fois dans le rôle IAM et dans le IAM Roles Anywhere profil. Grâce à cette approche, vous pouvez limiter les autorisations de session par le biais de IAM Roles Anywhere profils, quelles que soient les autres autorisations autorisées dans le rôle IAM.

L'image suivante montre l'accès dont dispose chaque application. Les applications se voient refuser l'accès à certaines AWS ressources car l'accès ne leur est pas explicitement accordé à la fois dans le rôle IAM et dans le IAM Roles Anywhere profil. Si l'appel Credential Helper inclut le nom de ressource Amazon (ARN) pour le rôle 1, l'application reçoit des informations d'identification de sécurité temporaires pour accéder au compartiment 1 via le rôle 1. Si l'appel Credential Helper inclut l'ARN du rôle 2, l'application reçoit des informations d'identification de sécurité temporaires pour accéder au compartiment 2 via le rôle 2.

Les applications utilisent le même certificat et peuvent accéder à plusieurs rôles. Les profils limitent l'accès.

Les politiques de confiance des rôles 1 et 2 sont configurées pour IAM Roles Anywhere permettre d'assumer le rôle, de définir l'identité de la source et de baliser les sessions. Voici un exemple de politique de confiance qui permet aux applications d'assumer n'importe quel rôle lié à un IAM Roles Anywhere profil :

{
  "Version": "2012-10-17", 		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rolesanywhere.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "sts:SourceIdentity": [
            "${sourceIdentityPrefix}${sourceIdentityValue}"
          ]
        }
      }
    }
  ]
}

Pour plus d'informations sur les politiques de confiance des rôles et sur la manière dont vous pouvez modifier cet exemple, consultez la section Politique de confiance dans la IAM Roles Anywhere documentation.

Des exemples de règles relatives aux rôles et aux profils pour les applications 1 et 2 sont inclus dans la section Annexe : Exemples de politiques relatives aux rôles et aux profils de ce guide.