本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM Roles Anywhere 通过使用基于证书的访问控制来加强安全性
Alberto Sagrado Amador,Amazon Web Services
2025 年 7 月(文档历史记录)
随着组织扩大云覆盖范围并采用自动化,管理非人类身份(例如应用程序、服务器和容器)的安全访问变得越来越重要。传统方法使用长期凭证或硬编码机密,但这些方法可能会造成安全风险和运营开销。 AWS Identity and Access Management Roles Anywhere允许外部的工作负载通过 X.509 证书
Organizations 通常都在为访问密钥激增、证书轮换复杂以及实施细粒度访问控制的能力有限而苦苦挣扎。现代安全框架强调零信任原则、 just-in-time访问权限和最小权限原则,所有这些都可以通过正确实施基于证书的身份验证来实现。
本指南演示如何 IAM Roles Anywhere 通过有效管理证书属性和 AWS Identity and Access Management (IAM) 角色信任关系来增强安全性。它使用一个实用的架构示例来演示如何实现细粒度的访问控制并在会话中 IAM Roles Anywhere 强制执行最小权限原则。
架构使用 IAM Roles Anywhere 和 AWS 私有证书颁发机构 (AWS 私有 CA)。 AWS 私有 CA 充当信任锚点,并且 AWS Certificate Manager (ACM) 管理证书。这个基础反映了现实世界的安全配置及其含义。
如果没有针对 IAM 角色进行适当的策略配置,则 AWS 私有 CA 可能使用颁发的任何证书来代入角色。这可能会造成严重的安全漏洞,包括未经授权的角色假设、数据泄露和凭据泄露。本指南介绍如何通过正确配置策略和管理证书属性来帮助降低这些风险。
下图显示了应用程序如何通过请求访问权限, IAM Roles Anywhere 然后在目标中执行允许的操作的工作流程 AWS 账户。
下图显示了如下工作流:
-
应用程序向请求临时安全证书, IAM Roles Anywhere 并提供其证书以进行身份验证。
-
IAM Roles Anywhere 使用信任关系对应用程序进行身份验证 AWS 私有 CA。
-
IAM Roles Anywhere 生成一个包含临时安全证书的 JSON 文件并将其返回给应用程序。
-
使用临时安全证书,应用程序在中扮演 IAM 角色 AWS 账户。
应用程序执行附加到 IAM 角色和账户中的策略所允许的操作。例如,它可能会访问亚马逊简单存储服务 (Amazon S3) 存储桶。
目标受众
本指南适用于为混合云环境实施访问控制或自动管理非人类身份权限的云架构师、安全 DevOps 工程师和工程师。本指南还可以帮助您遵守法规或满足安全最佳实践。要理解本指南中的概念和建议,您应该熟悉以下内容:
-
IAM 基础知识
-
公钥基础架构 (PKI) 和 X.509 证书管理
-
零信任安全和最低权限访问原则
-
AWS 服务 用于基于证书的身份验证,例如和 IAM Roles Anywhere AWS 私有 CA
目标
使用 IAM Roles Anywhere 和 X.509 证书进行身份验证可以带来以下关键业务成果:
-
增强安全性-消除与使用长期凭证相关的风险
-
减少运营开销 — 自动进行凭证管理和轮换
-
提高合规性-提供详细的审计跟踪并强制执行最低权限访问权限
-
可扩展的管理-跨混合环境集中访问控制
-
成本效益-降低与安全事件响应工作相关的成本和管理复杂性
