As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Opção 1: os aplicativos podem assumir qualquer função vinculada a um IAM Roles Anywhere perfil
Nesse cenário, dois certificados foram provisionados no AWS Certificate Manager (ACM) da Autoridade de Certificação Privada da AWS instância e compartilhados com os aplicativos que exigem acesso aos recursos. AWS Esses aplicativos podem assumir qualquer função vinculada a um IAM Roles Anywhere perfil. Isso ocorre porque a política de confiança não limita qual aplicativo pode assumi-la.
nota
Nesse cenário, não é necessário que os aplicativos tenham certificados separados. Eles poderiam compartilhar um único certificado.
Quando um aplicativo assume uma função, as permissões são a convergência do que é explicitamente permitido na função do IAM e no perfil. IAM Roles Anywhere Usando essa abordagem, você pode limitar as permissões de sessão por meio de IAM Roles Anywhere perfis, independentemente das outras permissões permitidas na função do IAM.
A imagem a seguir mostra o acesso que cada aplicativo tem. Os aplicativos têm acesso negado a alguns AWS recursos porque não recebem acesso explícito tanto na função do IAM quanto no IAM Roles Anywhere perfil. Se a chamada do Credential Helper incluir o Amazon Resource Name (ARN) para a função 1, o aplicativo receberá credenciais de segurança temporárias para acessar o bucket 1 por meio da função 1. Se a chamada do Credential Helper incluir o ARN da Função 2, o aplicativo receberá credenciais de segurança temporárias para acessar o Bucket 2 por meio da Função 2.
As políticas de confiança da Função 1 e da Função 2 são configuradas IAM Roles Anywhere para permitir que você assuma a função, defina a identidade de origem e marque as sessões. Veja a seguir um exemplo de política de confiança que permite que os aplicativos assumam qualquer função vinculada a um IAM Roles Anywhere perfil:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "sts:SourceIdentity": [ "${sourceIdentityPrefix}${sourceIdentityValue}" ] } } } ] }
Para obter mais informações sobre políticas de confiança de funções e como você pode modificar esse exemplo, consulte Política de confiança na IAM Roles Anywhere documentação.
Exemplos de políticas de função e perfil para o Aplicativo 1 e o Aplicativo 2 estão incluídos na seção Apêndice: Exemplo de perfil e políticas de função deste guia.
