Arquitetura para controles de acesso baseados em certificados em AWS

Você pode usar AWS Identity and Access Management Roles Anywhere para obter credenciais de segurança temporárias no AWS Identity and Access Management (IAM) para cargas de trabalho, como servidores, contêineres e aplicativos executados fora do. AWS Suas cargas de trabalho podem usar as mesmas políticas e funções do IAM que você usa para acessar AWS recursos. IAM Roles Anywhere elimina a necessidade de gerenciar credenciais de longo prazo para cargas de trabalho que operam fora do. Nuvem AWS

Para usar IAM Roles Anywhere, suas cargas de trabalho devem usar certificados X.509 emitidos pela sua autoridade de certificação (CA). Você registra a CA IAM Roles Anywhere como uma âncora de confiança para estabelecer confiança entre sua infraestrutura de chave pública e. IAM Roles Anywhere Neste guia, você usa Autoridade de Certificação Privada da AWS (CA Privada da AWS) como CA e, em seguida, estabelece confiança com IAM Roles Anywhere. No contexto de IAM Roles Anywhere, CA Privada da AWS serve como uma fonte confiável para a emissão de certificados com atributos específicos que podem ser usados para controlar o acesso aos AWS recursos por meio de políticas refinadas.

Este guia fornece duas opções diferentes para configurar o acesso baseado em certificado aos AWS recursos no destino e. Conta da AWS Região da AWS O diagrama a seguir mostra os recursos que são comuns entre as duas opções. CA Privada da AWS está configurado na mesma conta e região em que IAM Roles Anywhere está implantado. Existe uma âncora de confiança entre IAM Roles Anywhere e. CA Privada da AWS Por padrão, todos os certificados CA Privada da AWS gerados podem ser usados durante o processo de assinatura e são armazenados no AWS Certificate Manager (ACM). Para fins deste guia, os aplicativos estão acessando um ou mais buckets do Amazon Simple Storage Service (Amazon S3) no. Conta da AWS

IAM Roles Anywhere implantado na mesma conta e região de CA Privada da AWS.

A arquitetura deve ter os seguintes recursos:

Certificados — Você pode usar o ACM para gerar certificados. Como o ACM é um serviço regional, ele deve ser implantado da mesma forma Região da AWS que. CA Privada da AWS Devido às limitações entre contas, recomendamos que você implante o ACM na mesma conta de. CA Privada da AWS Para obter mais informações, consulte Condições de uso CA Privada da AWS para assinar certificados privados do ACM na documentação do ACM.
Uma autoridade de certificação — você pode usar CA Privada da AWS ou usar uma CA externa. Por CA Privada da AWS ser um serviço regional, ele deve ser implantado da Região da AWS mesma forma que o ACM e os certificados.
Funções do IAM — mapeie as políticas e permissões do IAM para as funções do IAM, com base nos requisitos de negócios ou casos de uso da sua organização. Para obter mais informações, consulte Criação da função do IAM na documentação do IAM.
IAM Roles Anywhere perfis — configure perfis para especificar quais funções são IAM Roles Anywhere assumidas e o que suas cargas de trabalho podem fazer com as credenciais temporárias. No perfil, defina as políticas de sessão do IAM para limitar as permissões criadas para uma sessão. Para obter mais informações, consulte Configurar funções na IAM Roles Anywhere documentação.
Ferramenta auxiliar de credenciais — Use a ferramenta auxiliar de credenciais IAM Roles Anywhere fornecida para obter credenciais de segurança temporárias. Para obter mais informações, consulte Obter credenciais de segurança temporárias IAM Roles Anywhere na IAM Roles Anywhere documentação.

Para delegar permissão para acessar um recurso IAM Roles Anywhere, você cria uma função do IAM que tem uma política de permissão e uma política de confiança. Uma política de permissões concede à entidade presumida as permissões necessárias para realizar as tarefas pretendidas no recurso. Uma política de confiança especifica quais membros da conta confiável podem assumir a função. Neste guia, as políticas de permissões definem quais buckets do Amazon S3 a entidade pode acessar, e as políticas de confiança definem qual aplicativo pode assumir a função.

Este guia aborda os seguintes cenários para ilustrar as opções de configuração das políticas de confiança da função do IAM:

Opção 1: os aplicativos podem assumir qualquer função vinculada a um IAM Roles Anywhere perfil— Um ou mais certificados foram provisionados no ACM a partir do CA Privada da AWS e compartilhados com os aplicativos que exigem acesso aos recursos. AWS Esses aplicativos podem assumir qualquer função vinculada a um IAM Roles Anywhere perfil. Isso ocorre porque a política de confiança não limita qual aplicativo pode assumi-la.
Opção 2: Os aplicativos podem assumir somente a função permitida pela política de confiança— Dois certificados foram provisionados no ACM a partir do CA Privada da AWS e compartilhados com os aplicativos que exigem acesso aos recursos. AWS Devido aos controles de acesso baseados em certificados nas políticas de confiança, o Aplicativo 1 pode assumir somente a Função 1 e o Aplicativo 2 pode assumir somente a Função 2.

Pré-requisitos

Para configurar essas opções, você deve concluir o seguinte:

Um aplicativo externo que requer acesso aos recursos em seu Conta da AWS e no destino Região da AWS.
A autoridade de certificação está configurada na mesma região que IAM Roles Anywhere. Para obter instruções sobre a configuração Autoridade de Certificação Privada da AWS, consulte Introdução ao IAM Roles Anywhere.
Você emitiu um certificado para o aplicativo. Para obter mais informações e instruções, consulte AWS Certificate Manager certificados.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Principais conceitos

Opção 1: Assumir qualquer função