証明書属性とは何ですか、また、それらが重要な理由は何ですか IAM Roles Anywhere?一時的な認証情報はとどのように連携しますか IAM Roles Anywhere?を使用する利点は何ですか IAM Roles Anywhere?は既存の証明書インフラストラクチャとどのように IAM Roles Anywhere 統合されますか?で最小特権を実装するためのベストプラクティスは何ですか IAM Roles Anywhere?

での証明書ベースのアクセスコントロールに関するよくある質問 AWS

証明書属性とは何ですか、また、それらが重要な理由は何ですか IAM Roles Anywhere?

証明書属性は、共通名、組織、カスタム拡張機能など、証明書所有者に関する情報を含む X.509 証明書内のフィールドです。では AWS Identity and Access Management Roles Anywhere、これらの属性をロール信頼ポリシーで使用して、きめ細かなアクセスコントロールを実装できます。これは、証明書の有効性ではなく、証明書の特性に基づいてアクセスを決定するのに役立ちます。

一時的な認証情報はとどのように連携しますか IAM Roles Anywhere?

ワークロードが証明書を使用して認証されると、は通常 15 分から 12 時間の一時的なセキュリティ認証情報 IAM Roles Anywhere を提供します。これらの認証情報の有効期限が切れたら、更新する必要があります。これにより、認証情報が侵害されるリスクが軽減されます。これらの認証情報の一時的な性質は、最小特権の原則を維持するのに役立つ主要なセキュリティ機能です。

を使用する利点は何ですか IAM Roles Anywhere?

長期アクセスキーを使用する場合と比較して、 IAM Roles Anywhere にはいくつかの利点があります。

アクセスキーを管理またはローテーションする必要はありません
組み込み検証による証明書ベースの認証
認証情報の自動有効期限と更新
証明書属性によるきめ細かなアクセスコントロール
証明書の追跡による監査機能の向上
認証情報が公開されるリスクの軽減

は既存の証明書インフラストラクチャとどのように IAM Roles Anywhere 統合されますか?

IAM Roles Anywhere は、認証機関 (CA) をトラストアンカーとして登録することで、既存のパブリックキーインフラストラクチャ (PKI) と統合できます。既存の CA またはを使用できます AWS Private Certificate Authority。トラストアンカーとして登録すると、CA はワークロードの認証と一時的な AWS 認証情報の取得に使用できる証明書を発行します。

で最小特権を実装するためのベストプラクティスは何ですか IAM Roles Anywhere?

主なベストプラクティスは次のとおりです。

証明書属性を使用して、ロールの引き受けを特定のワークロードに制限する
証明書の特性に基づいて特定の信頼関係を実装する
モニタリングとログ AWS Identity and Access Management (IAM) ロールの前提条件
ワークロード要件に基づいて厳格なロールアクセス許可を実装する
ロールの信頼ポリシー、ロールのアイデンティティベースのポリシー、およびプロファイルポリシーを定期的に監査する

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

オプション 2: 特定のロールを引き受ける

次のステップとリソース