옵션 2: 애플리케이션이 신뢰 정책에서 허용하는 역할만 수임할 수 있음 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

옵션 2: 애플리케이션이 신뢰 정책에서 허용하는 역할만 수임할 수 있음

이 시나리오에서는 두 인증서가의 AWS Certificate Manager (ACM)에 프로비저닝 AWS Private Certificate Authority 되어 AWS 리소스에 액세스해야 하는 애플리케이션과 공유되었습니다. 애플리케이션 1역할 1만 수임할 수 있고 애플리케이션 2역할 2만 수임할 수 있습니다. 역할 신뢰 정책에서 인증서 주체 필드를 조건으로 구성합니다. 이러한 조건을 통해 애플리케이션은 특정 역할만 수임할 수 있습니다. 역할 권한으로 인해 애플리케이션 1버킷 1에 액세스할 수 있고 애플리케이션 2버킷 2에 액세스할 수 있습니다. 다음 이미지는 각 애플리케이션에 있는 액세스를 보여줍니다.

다른 인증서를 사용하고 특정 역할만 수임할 수 있는 애플리케이션.

이 옵션에서는 특정 인증서 속성이 충족될 때AssumeRole만 허용하도록 신뢰 정책을 구성합니다. 샘플 역할 신뢰 정책은 역할 1과 역할 2에 대해 다른 특정 인증서 일반 이름(CN)을 요구하도록 Condition 섹션을 구성하는 방법을 보여줍니다. IAM Roles Anywhere 는 신뢰 앵커 관계를 가지고 있기 때문에 각 애플리케이션은 특정 역할을 수임할 수 있습니다 AWS Private CA. 이 접근 방식은 애플리케이션이 대상 프로필에 연결된 역할을 수임할 수 없으므로 역할 및 데이터에 대한 무단 액세스를 방지하는 데 도움이 됩니다. 예를 들어 비즈니스 데이터를 서로 다른 버킷으로 분리하고, 해당 버킷 중 하나에 대한 액세스만 허용하도록 역할을 구성한 다음, 신뢰 정책에서 인증서 기반 액세스 제어를 사용하여 애플리케이션이 수임할 수 있는 역할을 정의할 수 있습니다.

역할 1에 대한 다음 샘플 신뢰 정책에는 인증서 이름이 application-1.com 이고 신뢰 앵커 Amazon 리소스 이름(ARN)이 일치하는 경우에만 역할 가정을 허용하는 조건이 있습니다.

{
  "Version": "2012-10-17", 		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rolesanywhere.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:PrincipalTag/x509Subject/CN": "application-1.com"
        },
        "ArnEquals": {
          "aws:SourceArn": [
            "arn:aws:rolesanywhere:<region>:<account-ID>:trust-anchor/<TA_ID>"
          ]
        }
      }
    }
  ]
}

역할 2에 대한 다음 샘플 신뢰 정책에는 인증서 이름이 application-2.com 이고 트러스트 앵커 ARN이 일치하는 경우에만 역할 가정을 허용하는 조건이 있습니다.

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity",
                "sts:TagSession"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalTag/x509Subject/CN": "application-2.com"
                },
                "ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:rolesanywhere:<region>:<account-ID>:trust-anchor/<TA_ID>"
                    ]
                }
            }
        }
    ]
}

역할 신뢰 정책 및 이러한 샘플을 수정하는 방법에 대한 자세한 내용은 IAM Roles Anywhere 설명서의 신뢰 정책을 참조하세요.

애플리케이션 1애플리케이션 2에 대한 샘플 역할 및 프로필 정책은이 가이드의 부록: 샘플 프로필 및 역할 정책 섹션에 포함되어 있습니다.