本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 关于基于证书的访问控制的常见问题解答 AWS
<a name="faq"></a>

## 什么是证书属性，为什么它们很重要 IAM Roles Anywhere？
<a name="faq-1"></a>

*证书属性*是 X.509 证书中的字段，其中包含有关证书持有者的信息，例如公用名、组织或自定义扩展。在中 AWS Identity and Access Management Roles Anywhere，这些属性可以在角色信任策略中使用，以实现精细的访问控制。这可以帮助您根据证书的特征而不是其有效性来做出访问决定。

## 临时证书是如何使用的 IAM Roles Anywhere？
<a name="faq-2"></a>

当工作负载使用证书进行身份验证时，会 IAM Roles Anywhere 提供临时安全证书，其持续时间通常在 15 分钟到 12 小时之间。当这些证书过期时，必须对其进行刷新。这降低了凭据泄露的风险。这些证书的临时性质是一项重要的安全功能，有助于维护最低权限原则。

## 使用有什么好处 IAM Roles Anywhere？
<a name="faq-3"></a>

与使用长期访问密钥相比， IAM Roles Anywhere 它具有以下几个优点：
+ 无需管理或轮换访问密钥
+ 带有内置验证功能的基于证书的身份验证
+ 凭证自动过期和续订
+ 通过证书属性进行精细的访问控制
+ 通过证书跟踪提高了审计能力
+ 降低了证书泄露的风险

## 如何与现有证书基础架构 IAM Roles Anywhere 集成？
<a name="faq-4"></a>

IAM Roles Anywhere 可以通过将您的证书颁发机构 (CA) 注册为信任锚来与您现有的公钥基础架构 (PKI) 集成。您可以使用现有的 CA 或 AWS 私有证书颁发机构。注册为信任锚后，CA 会颁发证书，这些证书可用于对工作负载进行身份验证和获取临时 AWS 证书。

## 使用实现最低权限的最佳做法 IAM Roles Anywhere是什么？
<a name="faq-5"></a>

关键最佳实践包括：
+ 使用证书属性将角色假设限制在特定的工作负载上
+ 根据证书特征实现特定的信任关系
+ 监控和记录 AWS Identity and Access Management (IAM) 角色假设
+ 根据工作负载要求实施严格的角色权限
+ 定期审计角色的信任策略、[基于身份的角色策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based)和个人资料策略