Arsitektur untuk kontrol akses berbasis sertifikat di AWS

Anda dapat menggunakan AWS Identity and Access Management Roles Anywhere untuk mendapatkan kredensil keamanan sementara di AWS Identity and Access Management (IAM) untuk beban kerja seperti server, kontainer, dan aplikasi yang berjalan di luar. AWS Beban kerja Anda dapat menggunakan kebijakan IAM dan peran IAM yang sama yang Anda gunakan untuk mengakses sumber daya. AWS IAM Roles Anywhere menghilangkan kebutuhan untuk mengelola kredensil jangka panjang untuk beban kerja yang beroperasi di luar. AWS Cloud

Untuk menggunakannya IAM Roles Anywhere, beban kerja Anda harus menggunakan sertifikat X.509 yang dikeluarkan oleh otoritas sertifikat (CA) Anda. Anda mendaftarkan CA IAM Roles Anywhere sebagai jangkar kepercayaan untuk membangun kepercayaan antara infrastruktur kunci publik Anda dan. IAM Roles Anywhere Dalam panduan ini, Anda menggunakan AWS Private Certificate Authority (AWS Private CA) sebagai CA dan kemudian membangun kepercayaan dengan IAM Roles Anywhere. Dalam konteks IAM Roles Anywhere, AWS Private CA berfungsi sebagai sumber tepercaya untuk menerbitkan sertifikat dengan atribut khusus yang dapat digunakan untuk mengontrol akses ke AWS sumber daya melalui kebijakan halus.

Panduan ini menyediakan dua opsi berbeda untuk mengonfigurasi akses berbasis sertifikat ke AWS sumber daya dalam target dan. Akun AWS Wilayah AWS Diagram berikut menunjukkan sumber daya yang umum antara kedua opsi. AWS Private CA diatur di akun dan Wilayah yang sama tempat IAM Roles Anywhere digunakan. Jangkar kepercayaan ada di antara IAM Roles Anywhere dan AWS Private CA. Secara default, semua sertifikat yang AWS Private CA dihasilkan diizinkan untuk digunakan selama proses penandatanganan dan disimpan dalam AWS Certificate Manager (ACM). Untuk keperluan panduan ini, aplikasi mengakses satu atau lebih bucket Amazon Simple Storage Service (Amazon S3) di. Akun AWS

IAM Roles Anywhere digunakan di akun dan Wilayah yang sama dengan. AWS Private CA

Arsitektur harus memiliki fitur-fitur berikut:

Sertifikat — Anda dapat menggunakan ACM untuk menghasilkan sertifikat. Karena ACM adalah layanan Regional, maka harus digunakan sama seperti Wilayah AWS . AWS Private CA Karena keterbatasan lintas akun, kami menyarankan Anda menerapkan ACM di akun yang sama dengan. AWS Private CA Untuk informasi selengkapnya, lihat Ketentuan penggunaan AWS Private CA untuk menandatangani sertifikat pribadi ACM dalam dokumentasi ACM.
Otoritas sertifikat — Anda dapat menggunakan AWS Private CA atau menggunakan CA eksternal. Karena AWS Private CA merupakan layanan Regional, itu harus digunakan Wilayah AWS sama dengan ACM dan sertifikat.
Peran IAM — Petakan kebijakan dan izin IAM ke peran IAM, berdasarkan persyaratan bisnis atau kasus penggunaan organisasi Anda. Untuk informasi selengkapnya, lihat Pembuatan peran IAM dalam dokumentasi IAM.
IAM Roles Anywhere profil — Siapkan profil untuk menentukan peran mana yang IAM Roles Anywhere diasumsikan dan apa yang dapat dilakukan beban kerja Anda dengan kredenal sementara. Di profil, tentukan kebijakan sesi IAM untuk membatasi izin yang dibuat untuk sesi. Untuk informasi selengkapnya, lihat Mengonfigurasi peran dalam IAM Roles Anywhere dokumentasi.
Alat Credential Helper - Gunakan alat pembantu kredenal yang IAM Roles Anywhere menyediakan untuk mendapatkan kredensil keamanan sementara. Untuk informasi selengkapnya, lihat Mendapatkan kredensil keamanan sementara dari IAM Roles Anywhere dalam dokumentasi. IAM Roles Anywhere

Untuk mendelegasikan izin untuk mengakses sumber daya IAM Roles Anywhere, Anda membuat peran IAM yang memiliki kebijakan izin dan kebijakan kepercayaan. Kebijakan izin memberi entitas asumsi izin yang diperlukan untuk melaksanakan tugas yang dimaksud pada sumber daya. Kebijakan kepercayaan menentukan anggota akun tepercaya mana yang diizinkan untuk mengambil peran tersebut. Dalam panduan ini, kebijakan izin menentukan bucket Amazon S3 mana yang dapat diakses entitas, dan kebijakan kepercayaan menentukan aplikasi mana yang dapat mengambil peran tersebut.

Panduan ini mencakup skenario berikut untuk mengilustrasikan opsi konfigurasi untuk kebijakan kepercayaan peran IAM:

Opsi 1: Aplikasi dapat mengambil peran apa pun yang ditautkan ke IAM Roles Anywhere profil— Satu atau lebih sertifikat telah disediakan di ACM dari AWS Private CA dan dibagikan dengan aplikasi yang memerlukan akses ke sumber daya. AWS Aplikasi ini dapat mengambil peran apa pun yang ditautkan ke IAM Roles Anywhere profil. Ini karena kebijakan kepercayaan tidak membatasi aplikasi mana yang dapat mengasumsikan itu.
Opsi 2: Aplikasi hanya dapat mengambil peran yang diizinkan oleh kebijakan kepercayaan— Dua sertifikat telah disediakan di ACM dari AWS Private CA dan dibagikan dengan aplikasi yang memerlukan akses ke sumber daya. AWS Karena kontrol akses berbasis sertifikat dalam kebijakan kepercayaan, Aplikasi 1 hanya dapat mengambil Peran 1, dan Aplikasi 2 hanya dapat mengambil Peran 2.

Prasyarat

Untuk mengatur opsi ini, Anda harus menyelesaikan yang berikut ini:

Aplikasi eksternal yang membutuhkan akses ke sumber daya di Akun AWS dan target Anda Wilayah AWS.
Otoritas sertifikat diatur di Wilayah yang sama dengan IAM Roles Anywhere. Untuk petunjuk tentang pengaturan AWS Private Certificate Authority, lihat Memulai dengan IAM Roles Anywhere.
Anda telah mengeluarkan sertifikat untuk aplikasi tersebut. Untuk informasi dan instruksi selengkapnya, lihat AWS Certificate Manager sertifikat.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Konsep utama

Opsi 1: Asumsikan peran apa pun