O que são atributos de certificados e por que eles são importantes IAM Roles Anywhere?Como funcionam as credenciais temporárias? IAM Roles Anywhere Quais são as vantagens de usar IAM Roles Anywhere?Como se IAM Roles Anywhere integra à infraestrutura de certificados existente?Quais são as melhores práticas para implementar o menor privilégio? IAM Roles Anywhere

Perguntas frequentes sobre controles de acesso baseados em certificados em AWS

O que são atributos de certificados e por que eles são importantes IAM Roles Anywhere?

Os atributos do certificado são campos nos certificados X.509 que contêm informações sobre o detentor do certificado, como nome comum, organização ou extensões personalizadas. Em AWS Identity and Access Management Roles Anywhere, esses atributos podem ser usados em políticas de confiança de funções para implementar um controle de acesso refinado. Isso ajuda você a tomar decisões de acesso com base nas características do certificado e não em sua validade.

Como funcionam as credenciais temporárias? IAM Roles Anywhere

Quando uma carga de trabalho é autenticada usando um certificado, IAM Roles Anywhere fornece credenciais de segurança temporárias que normalmente duram entre 15 minutos e 12 horas. Quando essas credenciais expirarem, elas deverão ser atualizadas. Isso reduz o risco de comprometimento de credenciais. A natureza temporária dessas credenciais é um recurso de segurança fundamental que ajuda a manter o princípio do menor privilégio.

Quais são as vantagens de usar IAM Roles Anywhere?

Em comparação com o uso de chaves de acesso de longo prazo, IAM Roles Anywhere oferece várias vantagens:

Não há necessidade de gerenciar ou girar as chaves de acesso
Autenticação baseada em certificado com validação integrada
Expiração e renovação automáticas de credenciais
Controle de acesso refinado por meio de atributos de certificado
Recursos aprimorados de auditoria por meio do rastreamento de certificados
Risco reduzido de exposição de credenciais

Como se IAM Roles Anywhere integra à infraestrutura de certificados existente?

IAM Roles Anywhere pode se integrar à sua infraestrutura de chave pública (PKI) existente registrando sua autoridade de certificação (CA) como uma âncora confiável. Você pode usar sua CA existente ou Autoridade de Certificação Privada da AWS. Quando registrada como uma âncora confiável, a CA emite certificados que podem ser usados para autenticar cargas de trabalho e obter credenciais temporárias. AWS

Quais são as melhores práticas para implementar o menor privilégio? IAM Roles Anywhere

As principais práticas recomendadas incluem:

Use atributos de certificado para restringir a suposição de função a cargas de trabalho específicas
Implemente relações de confiança específicas com base nas características do certificado
Monitore e registre AWS Identity and Access Management (IAM) as suposições da função
Implemente permissões estritas de função com base nos requisitos de carga de trabalho
Audite regularmente políticas de confiança para funções, políticas baseadas em identidade para funções e políticas de perfil

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Opção 2: Assumir uma função específica

Próximas etapas e recursos