Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Opzione 2: le applicazioni possono assumere solo il ruolo consentito dalla politica di fiducia
In questo scenario, due certificati sono stati forniti in AWS Certificate Manager (ACM) AWS Autorità di certificazione privata e condivisi con le applicazioni che richiedono l'accesso alle risorse. AWS L'applicazione 1 può assumere solo il ruolo 1 e l'applicazione 2 può assumere solo il ruolo 2. Nella politica di attendibilità dei ruoli, si configurano i campi relativi all'oggetto del certificato come condizioni. Queste condizioni consentono all'applicazione di assumere solo un ruolo specifico. Grazie alle autorizzazioni del ruolo, solo l'Applicazione 1 può accedere al Bucket 1 e solo l'Applicazione 2 può accedere al Bucket 2. L'immagine seguente mostra l'accesso di ogni applicazione.
In questa opzione, si configurano le politiche di attendibilità in modo da consentire AssumeRole solo quando vengono soddisfatti attributi specifici del certificato. La policy di fiducia dei ruoli di esempio mostra come configurare la Condition sezione per richiedere un nome comune del certificato specifico (CN), che è diverso per il ruolo 1 e il ruolo 2. Ogni applicazione può assumere un ruolo specifico perché IAM Roles Anywhere ha una relazione di trust ancoraggio con. AWS Private CA Questo approccio aiuta a prevenire l'accesso non autorizzato a ruoli e dati, poiché l'applicazione non può assumere alcun ruolo collegato al profilo di destinazione. Ad esempio, è possibile separare i dati aziendali in diversi bucket, configurare i ruoli per consentire l'accesso a uno solo di questi bucket e quindi utilizzare i controlli di accesso basati sui certificati nella politica di fiducia per definire il ruolo che l'applicazione può assumere.
Il seguente esempio di politica di fiducia per il ruolo 1 presenta una condizione che consente l'assunzione del ruolo solo se il nome del certificato è application-1.com e se il trust anchor Amazon Resource Name (ARN) corrisponde:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:PrincipalTag/x509Subject/CN": "application-1.com" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:rolesanywhere:<region>:<account-ID>:trust-anchor/<TA_ID>" ] } } } ] }
Il seguente esempio di politica di attendibilità per Role 2 presenta una condizione che consente l'assunzione del ruolo solo se il nome del certificato è application-2.com e se l'ARN del trust anchor corrisponde:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:PrincipalTag/x509Subject/CN": "application-2.com" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:rolesanywhere:<region>:<account-ID>:trust-anchor/<TA_ID>" ] } } } ] }
Per ulteriori informazioni sulle politiche di fiducia dei ruoli e su come modificare questi esempi, consulta la politica di fiducia nella documentazione. IAM Roles Anywhere
Esempi di politiche relative a ruoli e profili per l'Applicazione 1 e l'Applicazione 2 sono inclusi nella sezione Appendice: Esempi di politiche di profilo e ruolo di questa guida.
