옵션 1: 애플리케이션이 IAM Roles Anywhere 프로필에 연결된 모든 역할을 수임할 수 있음

이 시나리오에서는 인스턴스의 AWS Certificate Manager (ACM)에 두 개의 인증서가 프로비저닝되어 리소스에 AWS 액세스해야 하는 애플리케이션과 AWS Private Certificate Authority 공유되었습니다. 이러한 애플리케이션은 프로필에 연결된 모든 역할을 수임할 수 있습니다 IAM Roles Anywhere . 이는 신뢰 정책이 이를 수임할 수 있는 애플리케이션을 제한하지 않기 때문입니다.

애플리케이션이 역할을 수임할 때 권한은 IAM 역할과 IAM Roles Anywhere 프로파일 모두에서 명시적으로 허용되는 것의 수렴입니다. 이 접근 방식을 사용하면 IAM 역할에 허용되는 다른 권한에 관계없이 IAM Roles Anywhere 프로필을 통해 세션 권한을 제한할 수 있습니다.

다음 이미지는 각 애플리케이션에 있는 액세스를 보여줍니다. 애플리케이션은 IAM 역할과 IAM Roles Anywhere 프로필 모두에서 명시적으로 액세스 권한이 부여되지 않기 때문에 일부 AWS 리소스에 대한 액세스가 거부됩니다. 자격 증명 헬퍼 호출에 역할 1의 Amazon 리소스 이름(ARN)이 포함된 경우 애플리케이션에는 역할 1을 통해 버킷 1에 액세스할 수 있는 임시 보안 자격 증명이 부여됩니다. 자격 증명 헬퍼 호출에 역할 2에 대한 ARN이 포함된 경우 애플리케이션에는 역할 2를 통해 버킷 2에 액세스할 수 있는 임시 보안 자격 증명이 부여됩니다.

역할 1 및 역할 2 신뢰 정책은가 역할을 IAM Roles Anywhere 수임하고, 소스 자격 증명을 설정하고, 세션에 태그를 지정할 수 있도록 구성됩니다. 다음은 애플리케이션이 프로파일에 연결된 IAM Roles Anywhere 모든 역할을 수임하도록 허용하는 샘플 신뢰 정책입니다.

{
  "Version": "2012-10-17", 		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rolesanywhere.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "sts:SourceIdentity": [
            "${sourceIdentityPrefix}${sourceIdentityValue}"
          ]
        }
      }
    }
  ]
}

역할 신뢰 정책 및이 샘플을 수정하는 방법에 대한 자세한 내용은 IAM Roles Anywhere 설명서의 신뢰 정책을 참조하세요.

애플리케이션 1 및 애플리케이션 2에 대한 샘플 역할 및 프로필 정책은이 가이드의 부록: 샘플 프로필 및 역할 정책 섹션에 포함되어 있습니다.