での証明書ベースのアクセスコントロールのアーキテクチャ AWS

を使用して AWS Identity and Access Management Roles Anywhere 、の外部で実行されるサーバー、コンテナ、アプリケーションなどのワークロードの一時的なセキュリティ認証情報を AWS Identity and Access Management (IAM) で取得できます AWS。ワークロードは、 AWS リソースへのアクセスに使用するのと同じ IAM ポリシーと IAM ロールを使用できます。 IAM Roles Anywhere を使用すると、の外部で動作するワークロードの長期的な認証情報を管理する必要がなくなります AWS クラウド。

ワークロードを使用するには IAM Roles Anywhere、認証機関 (CA) によって発行された X.509 証明書を使用する必要があります。CA を信頼アンカー IAM Roles Anywhere としてに登録し、パブリックキーインフラストラクチャとの間の信頼を確立します IAM Roles Anywhere。このガイドでは、 AWS Private Certificate Authority (AWS Private CA) を CA として使用し、との信頼を確立します IAM Roles Anywhere。のコンテキストでは IAM Roles Anywhere、 AWS Private CA は、きめ細かなポリシーを通じて AWS リソースへのアクセスを制御するために使用できる特定の属性を持つ証明書を発行するための信頼できるソースとして機能します。

このガイドでは、ターゲット AWS アカウントおよびの AWS リソースへの証明書ベースのアクセスを設定するための 2 つの異なるオプションを提供します AWS リージョン。次の図は、両方のオプション間で共通するリソースを示しています。 AWS Private CA は、 IAM Roles Anywhere がデプロイされているのと同じアカウントとリージョンに設定されています。トラストアンカーは IAM Roles Anywhere との間に存在します AWS Private CA。デフォルトでは、が AWS Private CA 生成するすべての証明書は署名プロセス中に使用でき、 AWS Certificate Manager (ACM) 内に保存されます。このガイドでは、アプリケーションは内の 1 つ以上の Amazon Simple Storage Service (Amazon S3) バケットにアクセスしています AWS アカウント。

IAM Roles Anywhere と同じアカウントとリージョンにデプロイされます AWS Private CA。

アーキテクチャには次の機能が必要です。

証明書 – ACM を使用して証明書を生成できます。ACM はリージョナルサービスであるため、 AWS リージョンと同じにデプロイする必要があります AWS Private CA。クロスアカウントの制限により、ACM をと同じアカウントにデプロイすることをお勧めします AWS Private CA。詳細については、ACM ドキュメントの「を使用して ACM プライベート証明書に署名 AWS Private CA するための条件」を参照してください。
認証機関 – 外部 CA を使用 AWS Private CA または使用できます。 AWS Private CA はリージョナルサービスであるため、ACM および証明書 AWS リージョンと同じにデプロイする必要があります。
IAM ロール – 組織のビジネス要件またはユースケース要件に基づいて、IAM ポリシーとアクセス許可を IAM ロールにマッピングします。詳細については、IAM ドキュメントの「IAM ロールの作成」を参照してください。
IAM Roles Anywhere プロファイル – プロファイルを設定して、 IAM Roles Anywhere 引き受けるロールと、ワークロードが一時的な認証情報で実行できる操作を指定します。プロファイルで、IAM セッションポリシーを定義して、セッション用に作成されたアクセス許可を制限します。詳細については、 IAM Roles Anywhere ドキュメントの「ロールの設定」を参照してください。
認証情報ヘルパーツール – 一時的なセキュリティ認証情報を取得するために IAM Roles Anywhere が提供する認証情報ヘルパーツールを使用します。詳細については、ドキュメントの「から一時的なセキュリティ認証情報を取得する IAM Roles Anywhere IAM Roles Anywhere 」を参照してください。

を介してリソースにアクセスするアクセス許可を委任するには IAM Roles Anywhere、アクセス許可ポリシーと信頼ポリシーを持つ IAM ロールを作成します。アクセス許可ポリシーは、リソースで目的のタスクを実行するために必要なアクセス許可を引き受けるエンティティに付与します。信頼ポリシーは、ロールを引き受けることができる信頼されたアカウントメンバーを指定します。このガイドでは、アクセス許可ポリシーはエンティティがアクセスできる Amazon S3 バケットを定義し、信頼ポリシーはロールを引き受けることができるアプリケーションを定義します。

このガイドでは、IAM ロールの信頼ポリシーの設定オプションを説明する以下のシナリオについて説明します。

オプション 1: アプリケーションは IAM Roles Anywhere プロファイルにリンクされた任意のロールを引き受けることができます – から ACM に 1 つ以上の証明書がプロビジョニング AWS Private CA され、 AWS リソースへのアクセスを必要とするアプリケーションと共有されています。これらのアプリケーションは、 IAM Roles Anywhere プロファイルにリンクされた任意のロールを引き受けることができます。これは、信頼ポリシーが引き受けることができるアプリケーションを制限しないためです。
オプション 2: アプリケーションは、信頼ポリシーが許可するロールのみを引き受けることができます – から ACM に 2 つの証明書がプロビジョニング AWS Private CA され、 AWS リソースへのアクセスを必要とするアプリケーションと共有されています。信頼ポリシーの証明書ベースのアクセスコントロールにより、アプリケーション 1 はロール 1 のみを引き受け、アプリケーション 2 はロール 2 のみを引き受けることができます。

前提条件

これらのオプションを設定するには、以下を完了する必要があります。

AWS アカウントおよびターゲットのリソースへのアクセスを必要とする外部アプリケーション AWS リージョン。
認証機関は、と同じリージョンに設定されます IAM Roles Anywhere。セットアップの手順については AWS Private Certificate Authority、「の開始方法 IAM Roles Anywhere」を参照してください。
アプリケーションの証明書を発行しました。詳細と手順については、AWS Certificate Manager 「証明書」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

主要なコンセプト

オプション 1: 任意のロールを引き受ける