翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
オプション 1: アプリケーションは IAM Roles Anywhere プロファイルにリンクされた任意のロールを引き受けることができます
このシナリオでは、 AWS Private Certificate Authority インスタンスから AWS Certificate Manager (ACM) で 2 つの証明書がプロビジョニングされ、リソースへのアクセス AWS を必要とするアプリケーションと共有されています。これらのアプリケーションは、 プロファイルにリンクされた任意のロールを IAM Roles Anywhere 引き受けることができます。これは、信頼ポリシーが引き受けることができるアプリケーションを制限しないためです。
注記
このシナリオでは、アプリケーションに個別の証明書がある必要はありません。1 つの証明書を共有できます。
アプリケーションがロールを引き受ける場合、アクセス許可は IAM ロールと IAM Roles Anywhere プロファイルの両方で明示的に許可されているものの収束です。このアプローチを使用すると、IAM ロールで許可されている他のアクセス許可に関係なく、 IAM Roles Anywhere プロファイルを使用してセッションアクセス許可を制限できます。
次の図は、各アプリケーションが持つアクセスを示しています。一部の AWS リソースへのアクセスは、IAM ロールと IAM Roles Anywhere プロファイルの両方で明示的に許可されていないため、アプリケーションは拒否されます。認証情報ヘルパー呼び出しにロール 1 の Amazon リソースネーム (ARN) が含まれている場合、アプリケーションにはバケット 1 からロール 1 にアクセスするための一時的なセキュリティ認証情報が付与されます。認証情報ヘルパー呼び出しにロール 2 の ARN が含まれている場合、アプリケーションにはロール 2 を介してバケット 2 にアクセスするための一時的なセキュリティ認証情報が付与されます。
ロール 1 とロール 2 の信頼ポリシーは、 IAM Roles Anywhere がロールを引き受け、ソース ID を設定し、セッションにタグを付けることができるように設定されています。以下は、アプリケーションが プロファイルにリンク IAM Roles Anywhere された任意のロールを引き受けることを許可する信頼ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "sts:SourceIdentity": [ "${sourceIdentityPrefix}${sourceIdentityValue}" ] } } } ] }
ロールの信頼ポリシーと、このサンプルを変更する方法の詳細については、 IAM Roles Anywhere ドキュメントの「信頼ポリシー」を参照してください。
アプリケーション 1 とアプリケーション 2 のサンプルロールとプロファイルポリシーは、このガイドの付録: サンプルプロファイルとロールポリシーのセクションに含まれています。
