Opzione 1: le applicazioni possono assumere qualsiasi ruolo collegato a un IAM Roles Anywhere profilo - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Opzione 1: le applicazioni possono assumere qualsiasi ruolo collegato a un IAM Roles Anywhere profilo

In questo scenario, due certificati sono stati forniti in AWS Certificate Manager (ACM) dall' AWS Autorità di certificazione privata istanza e condivisi con le applicazioni che richiedono l'accesso alle AWS risorse. Queste applicazioni possono assumere qualsiasi ruolo collegato a un IAM Roles Anywhere profilo. Questo perché la politica di attendibilità non limita l'applicazione che può assumerlo.

Nota

In questo scenario, non è necessario che le applicazioni dispongano di certificati separati. Potrebbero condividere un unico certificato.

Quando un'applicazione assume un ruolo, le autorizzazioni sono la convergenza di ciò che è esplicitamente consentito sia nel ruolo IAM che nel profilo. IAM Roles Anywhere Utilizzando questo approccio, puoi limitare le autorizzazioni di sessione tramite IAM Roles Anywhere i profili, indipendentemente dalle altre autorizzazioni consentite nel ruolo IAM.

L'immagine seguente mostra l'accesso di ogni applicazione. Alle applicazioni viene negato l'accesso ad alcune AWS risorse perché non viene loro concesso esplicitamente l'accesso sia nel ruolo IAM che nel IAM Roles Anywhere profilo. Se la chiamata Credential Helper include Amazon Resource Name (ARN) per il ruolo 1, all'applicazione vengono concesse credenziali di sicurezza temporanee per accedere a Bucket 1 tramite Role 1. Se la chiamata Credential Helper include l'ARN per il ruolo 2, all'applicazione vengono concesse credenziali di sicurezza temporanee per accedere a Bucket 2 tramite il ruolo 2.

Le applicazioni utilizzano lo stesso certificato e possono accedere a più ruoli. I profili limitano l'accesso.

Le politiche di attendibilità del ruolo 1 e del ruolo 2 sono configurate IAM Roles Anywhere per consentire di assumere il ruolo, impostare l'identità di origine e contrassegnare le sessioni. Di seguito è riportato un esempio di politica di attendibilità che consente alle applicazioni di assumere qualsiasi ruolo collegato a un IAM Roles Anywhere profilo:

{
  "Version": "2012-10-17", 		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rolesanywhere.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "sts:SourceIdentity": [
            "${sourceIdentityPrefix}${sourceIdentityValue}"
          ]
        }
      }
    }
  ]
}

Per ulteriori informazioni sulle politiche di attendibilità dei ruoli e su come modificare questo esempio, consulta la politica di attendibilità nella IAM Roles Anywhere documentazione.

Esempi di criteri di ruolo e profilo per l'Applicazione 1 e l'Applicazione 2 sono inclusi nella sezione Appendice: Esempi di politiche di profilo e ruolo di questa guida.