非 AWS 工作負載的存取權
IAM 角色是 AWS Identity and Access Management (IAM) 中被指派了許可的物件。使用 IAM 身分或 AWS 以外的身分擔任角色時,它會為角色工作階段提供暫時性安全憑證。您可能會在自己的資料中心或 AWS 以外的其他基礎設施 (必須存取 AWS 資源) 中執行工作負載。您可以使用 AWS Identity and Access Management Roles Anywhere (IAM Roles Anywhere) 驗證您的非 AWS 工作負載,而不用建立、分佈和管理長期存取金鑰。IAM Roles Anywhere 使用您憑證授權機構 (CA) 提供的 X.509 憑證來驗證身分,並使用 IAM 角色提供的暫時性憑證安全地提供對 AWS 服務 的存取權。
若要使用 IAM Roles Anywhere
-
使用 AWS 私有憑證授權單位設定 CA,或者使用您自己的 PKI 基礎設施中的 CA。
-
設定 CA 之後,在 IAM Roles Anywhere 中建立稱為信任錨的物件。此錨點在 IAM Roles Anywhere 和 CA 之間建立信任,以進行身分驗證。
-
然後您可以設定現有的 IAM 角色,或建立信任 IAM Roles Anywhere 服務的新角色。
-
使用信任錨透過 IAM Roles Anywhere 對非 AWS 工作負載進行身分驗證。AWS 會向有權存取 AWS 資源的 IAM 角色授予非 AWS 工作負載臨時憑證。
其他資源
下列資源可協助您進一步了解如何提供對非 AWS 工作負載的存取權。
-
如需設定 IAM Roles Anywhere 的詳細資訊,請參閱《IAM Roles Anywhere 使用者指南》中的 What is AWS Identity and Access Management Roles Anywhere (什麼是 IAM Roles Anywhere)。
-
若要了解如何為 IAM Roles Anywhere 設定公有金鑰基礎設施 (PKI),請參閱 AWS 安全部落格中的 IAM Roles Anywhere with an external certificate authority
。
