Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Architettura per i controlli di accesso basati su certificati in AWS
Puoi utilizzarlo AWS Identity and Access Management Roles Anywhere per ottenere credenziali di sicurezza temporanee in AWS Identity and Access Management (IAM) per carichi di lavoro come server, contenitori e applicazioni eseguiti all'esterno di. AWS I tuoi carichi di lavoro possono utilizzare le stesse politiche IAM e gli stessi ruoli IAM che utilizzi per accedere alle risorse. AWS IAM Roles Anywhere elimina la necessità di gestire le credenziali a lungo termine per i carichi di lavoro che operano al di fuori di. Cloud AWS
Per essere utilizzati IAM Roles Anywhere, i carichi di lavoro devono utilizzare certificati X.509 emessi dall'autorità di certificazione (CA) dell'autorità di certificazione (CA). La CA viene registrata IAM Roles Anywhere come punto di riferimento di fiducia per stabilire un rapporto di fiducia tra l'infrastruttura a chiave pubblica e. IAM Roles Anywhere In questa guida, utilizzi AWS Autorità di certificazione privata (AWS Private CA) come CA e poi stabilisci un rapporto di fiducia con. IAM Roles Anywhere Nel contesto di IAM Roles Anywhere, AWS Private CA funge da fonte affidabile per l'emissione di certificati con attributi specifici che possono essere utilizzati per controllare l'accesso alle AWS risorse attraverso politiche granulari.
Questa guida fornisce due diverse opzioni per configurare l'accesso basato su certificati alle risorse presenti nelle aree di destinazione e. AWS Account AWS Regione AWS Il diagramma seguente mostra le risorse comuni tra le due opzioni. AWS Private CA è configurato nello stesso account e nella stessa regione in cui IAM Roles Anywhere è distribuito. Esiste un ancoraggio di fiducia tra e IAM Roles Anywhere . AWS Private CA Per impostazione predefinita, tutti i certificati AWS Private CA generati possono essere utilizzati durante il processo di firma e sono archiviati all'interno di AWS Certificate Manager (ACM). Ai fini di questa guida, le applicazioni accedono a uno o più bucket Amazon Simple Storage Service (Amazon S3) nel. Account AWS
L'architettura deve avere le seguenti caratteristiche:
-
Certificati: puoi utilizzare ACM per generare certificati. Poiché ACM è un servizio regionale, deve essere distribuito nello stesso modo di. Regione AWS AWS Private CA A causa delle limitazioni tra account, ti consigliamo di distribuire ACM nello stesso account di. AWS Private CA Per ulteriori informazioni, consulta Condizioni per l'utilizzo AWS Private CA per firmare i certificati privati ACM nella documentazione ACM.
-
Un'autorità di certificazione: è possibile utilizzare AWS Private CA o utilizzare una CA esterna. Poiché AWS Private CA si tratta di un servizio regionale, deve essere distribuito nello stesso modo Regione AWS in cui ACM e i certificati.
-
Ruoli IAM: associa le policy e le autorizzazioni IAM ai ruoli IAM, in base ai requisiti aziendali o dei casi d'uso dell'organizzazione. Per ulteriori informazioni, consulta la creazione di ruoli IAM nella documentazione IAM.
-
IAM Roles Anywhere profili: configura i profili per specificare quali ruoli IAM Roles Anywhere assume e cosa possono fare i carichi di lavoro con le credenziali temporanee. Nel profilo, definisci le policy di sessione IAM per limitare le autorizzazioni create per una sessione. Per ulteriori informazioni, consulta Configurare i ruoli nella IAM Roles Anywhere documentazione.
-
Strumento di supporto alle credenziali: utilizza lo strumento di supporto alle credenziali che IAM Roles Anywhere fornisce per ottenere credenziali di sicurezza temporanee. Per ulteriori informazioni, consulta Ottenere credenziali di sicurezza temporanee dalla documentazione. IAM Roles Anywhere IAM Roles Anywhere
Per delegare l'autorizzazione all'accesso a una risorsa tramite IAM Roles Anywhere, crei un ruolo IAM con una politica di autorizzazione e una politica di fiducia. Una politica di autorizzazioni concede all'entità che assume le autorizzazioni necessarie per eseguire le attività previste sulla risorsa. Una politica di fiducia specifica quali membri dell'account fidati sono autorizzati ad assumere il ruolo. In questa guida, le politiche di autorizzazione definiscono a quali bucket Amazon S3 l'entità può accedere e le politiche di fiducia definiscono quale applicazione può assumere il ruolo.
Questa guida illustra i seguenti scenari per illustrare le opzioni di configurazione per le policy di fiducia dei ruoli IAM:
-
Opzione 1: le applicazioni possono assumere qualsiasi ruolo collegato a un IAM Roles Anywhere profilo— Uno o più certificati sono stati forniti in ACM da AWS Private CA e condivisi con le applicazioni che richiedono l'accesso alle risorse. AWS Queste applicazioni possono assumere qualsiasi ruolo collegato a un IAM Roles Anywhere profilo. Questo perché la politica di attendibilità non limita l'applicazione che può assumerlo.
-
Opzione 2: le applicazioni possono assumere solo il ruolo consentito dalla politica di fiducia— Due certificati sono stati forniti in ACM da AWS Private CA e condivisi con le applicazioni che richiedono l'accesso alle AWS risorse. A causa dei controlli di accesso basati sui certificati nelle politiche di attendibilità, l'Applicazione 1 può assumere solo il Ruolo 1 e l'Applicazione 2 può assumere solo il Ruolo 2.
Prerequisiti
Per configurare queste opzioni, è necessario completare quanto segue:
-
Un'applicazione esterna che richiede l'accesso alle risorse di your Account AWS and target Regione AWS.
-
L'autorità di certificazione è configurata nella stessa regione di IAM Roles Anywhere. Per istruzioni sulla configurazione AWS Autorità di certificazione privata, consulta Guida introduttiva IAM Roles Anywhere.
-
Hai rilasciato un certificato per la domanda. Per ulteriori informazioni e istruzioni, consulta AWS Certificate Manager i certificati.
