本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 后续步骤和资源
既然您已经了解了如何通过使用证书属性来实现安全的访问控制 AWS Identity and Access Management Roles Anywhere,那么可以考虑查看现有的混合工作负载架构。识别当前使用长期凭证或需要从外部安全访问 AWS 资源的工作负载 AWS Cloud。评估通过实施基于证书的身份验证和应用本指南中描述的精细访问控制来增强安全性的机会。在扩展到生产工作负载之前,可以考虑从一个小的概念验证开始。验证证书属性和信任策略是否符合您的安全要求和组织结构。
对于新客户和工作负载,请从设计阶段开始采纳这些建议。使用本指南中提供的示例配置和策略作为基础。您可以根据自己的特定用例对其进行调整,同时保持最低权限原则。如果您需要其他指导或对 IAM Roles Anywhere 在您的环境中实施有具体问题,请联系您的 AWS 客户团队或 AWS 专业服务。
## 资源
### AWS 私有证书颁发机构 资源
+ [跨账户访问私密账户的安全最佳实践 CAs](https://docs.aws.amazon.com/privateca/latest/userguide/pca-resource-sharing.html)(AWS 私有 CA 文档)
+ AWS 私有 CA(AWS 私有 CA 文档)[基于资源的政策](https://docs.aws.amazon.com/privateca/latest/userguide/pca-rbp.html)
+ [AWS RAM 如何使用共享您的 ACM 私有 CA 跨账户](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)(AWS 博客文章)
+ [如何与其他 AWS 账户人共享我的 ACM 私有证书颁发机构?](https://repost.aws/knowledge-center/acm-share-pca-with-another-account) (AWS 知识中心)
### IAM Roles Anywhere 和 IAM 资源
+ [IAM Roles Anywhere 身份验证签名过程](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/authentication-sign-process.html)(IAM Roles Anywhere 文档)
+ [IAM Roles Anywhere 凭证助手](https://github.com/aws/rolesanywhere-credential-helper/tree/main) () GitHub
+ [证书属性映射](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/attribute-mapping.html)(IAM Roles Anywhere 文档)
+ [属性映射和信任策略](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/attribute-mappping-and-trust-policy.html)(IAM Roles Anywhere 文档)
+ [使用 AWS CloudTrail(IAM Roles Anywhere 文档)记录 IAM Roles Anywhere API 调用](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/logging-using-cloudtrail.html)
+ [在 CloudTrail(IAM 文档)中查看会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html#id_session-tags_ctlogs)