Opsi 1: Aplikasi dapat mengambil peran apa pun yang ditautkan ke IAM Roles Anywhere profil - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Opsi 1: Aplikasi dapat mengambil peran apa pun yang ditautkan ke IAM Roles Anywhere profil

Dalam skenario ini, dua sertifikat telah disediakan di AWS Certificate Manager (ACM) dari AWS Private Certificate Authority instance dan dibagikan dengan aplikasi yang memerlukan akses ke sumber daya. AWS Aplikasi ini dapat mengambil peran apa pun yang ditautkan ke IAM Roles Anywhere profil. Ini karena kebijakan kepercayaan tidak membatasi aplikasi mana yang dapat mengasumsikan itu.

catatan

Dalam skenario ini, tidak diperlukan bahwa aplikasi memiliki sertifikat terpisah. Mereka bisa berbagi sertifikat tunggal.

Ketika aplikasi mengasumsikan peran, izin adalah konvergensi dari apa yang secara eksplisit diizinkan baik dalam peran IAM maupun di profil. IAM Roles Anywhere Dengan menggunakan pendekatan ini, Anda dapat membatasi izin sesi melalui IAM Roles Anywhere profil, terlepas dari izin lain yang diizinkan dalam peran IAM.

Gambar berikut menunjukkan akses yang dimiliki setiap aplikasi. Aplikasi ditolak akses ke beberapa AWS sumber daya karena mereka tidak secara eksplisit diberikan akses baik dalam peran IAM maupun profil. IAM Roles Anywhere Jika panggilan Credential Helper menyertakan Amazon Resource Name (ARN) untuk Peran 1, maka aplikasi diberikan kredenal keamanan sementara untuk mengakses Bucket 1 melalui Role 1. Jika panggilan Credential Helper menyertakan ARN untuk Peran 2, maka aplikasi diberikan kredensil keamanan sementara untuk mengakses Bucket 2 melalui Peran 2.

Aplikasi menggunakan sertifikat yang sama dan dapat mengakses banyak peran. Profil membatasi akses.

Kebijakan kepercayaan Peran 1 dan Peran 2 dikonfigurasi IAM Roles Anywhere untuk memungkinkan untuk mengambil peran, menetapkan identitas sumber, dan menandai sesi. Berikut ini adalah contoh kebijakan kepercayaan yang memungkinkan aplikasi untuk mengambil peran apa pun yang ditautkan ke IAM Roles Anywhere profil:

{
  "Version": "2012-10-17", 		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rolesanywhere.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "sts:SourceIdentity": [
            "${sourceIdentityPrefix}${sourceIdentityValue}"
          ]
        }
      }
    }
  ]
}

Untuk informasi selengkapnya tentang kebijakan kepercayaan peran dan cara mengubah sampel ini, lihat Kebijakan kepercayaan dalam IAM Roles Anywhere dokumentasi.

Contoh kebijakan peran dan profil untuk Aplikasi 1 dan Aplikasi 2 disertakan dalam bagian Lampiran: Profil sampel dan kebijakan peran dari panduan ini.