中的憑證型存取控制架構 AWS - AWS 方案指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中的憑證型存取控制架構 AWS

您可以使用 AWS Identity and Access Management Roles Anywhere 在 AWS Identity and Access Management (IAM) 中取得臨時安全登入資料,例如在 外部執行的伺服器、容器和應用程式 AWS。您的工作負載可以使用您用來存取 AWS 資源的相同 IAM 政策和 IAM 角色。 IAM Roles Anywhere 無需為在 外部操作的工作負載管理長期憑證 AWS 雲端。

若要使用 IAM Roles Anywhere,您的工作負載必須使用憑證授權單位 (CA) 發行的 X.509 憑證。您可以將 CA 註冊 IAM Roles Anywhere 為信任錨點,以在公有金鑰基礎設施與 之間建立信任 IAM Roles Anywhere。在本指南中,您會使用 AWS 私有憑證授權單位 (AWS 私有 CA) 做為 CA,然後與 建立信任 IAM Roles Anywhere。在 的內容中 IAM Roles Anywhere, AWS 私有 CA 可做為信任的來源,以發行具有特定屬性的憑證,這些屬性可用來透過精細政策控制對 AWS 資源的存取。

本指南提供兩種不同的選項,用於設定以憑證為基礎的存取目標 AWS 帳戶 和 中的 AWS 資源 AWS 區域。下圖顯示兩個選項之間的常見資源。 AWS 私有 CA 是在 IAM Roles Anywhere 部署 的相同 帳戶和區域中設定。信任錨點存在於 IAM Roles Anywhere 和 之間 AWS 私有 CA。根據預設,所有 AWS 私有 CA 產生的憑證都允許在簽署程序期間使用,並存放在 AWS Certificate Manager (ACM) 中。基於本指南的目的,應用程式正在存取 中的一或多個 Amazon Simple Storage Service (Amazon S3) 儲存貯體 AWS 帳戶。

IAM Roles Anywhere 部署在與 相同的帳戶和區域中 AWS 私有 CA。

架構必須具有下列功能:

  • 憑證 – 您可以使用 ACM 來產生憑證。由於 ACM 是區域服務,因此必須 AWS 區域 部署在相同的 中 AWS 私有 CA。由於跨帳戶限制,我們建議您在相同的帳戶中部署 ACM AWS 私有 CA。如需詳細資訊,請參閱 ACM 文件中的使用 AWS 私有 CA 簽署 ACM 私有憑證的條件

  • 憑證授權機構 – 您可以使用 AWS 私有 CA 或使用外部 CA。由於 AWS 私有 CA 是區域服務,因此必須部署在 AWS 區域 與 ACM 和憑證相同的 中。

  • IAM 角色 – 根據您組織的業務或使用案例需求,將 IAM 政策和許可 映射至 IAM 角色。如需詳細資訊,請參閱 IAM 文件中的建立 IAM 角色

  • IAM Roles Anywhere 設定檔 – 設定設定檔以指定擔任哪些角色 IAM Roles Anywhere ,以及您的工作負載可以使用暫時登入資料做什麼。在 設定檔中,定義 IAM 工作階段政策以限制為工作階段建立的許可。如需詳細資訊,請參閱 IAM Roles Anywhere 文件中的設定角色

  • 登入資料協助程式工具 – 使用 IAM Roles Anywhere 提供的登入資料協助程式工具,以取得臨時安全登入資料。如需詳細資訊,請參閱 文件中的 IAM Roles Anywhere 從 取得臨時安全登入 IAM Roles Anywhere資料。

若要委派透過 存取資源的許可 IAM Roles Anywhere,您可以建立具有許可政策和信任政策的 IAM 角色。許可政策會授予擔任實體在資源上執行預期任務所需的許可。信任政策會指定允許哪些受信任的帳戶成員擔任該角色。在本指南中,許可政策會定義實體可存取的 Amazon S3 儲存貯體,而信任政策會定義可擔任該角色的應用程式。

本指南涵蓋下列案例,以說明 IAM 角色信任政策的組態選項:

先決條件

若要設定這些選項,您必須完成下列操作:

  • 需要存取 AWS 帳戶 和 目標中資源的外部應用程式 AWS 區域。

  • 憑證授權機構是在與 相同的區域中設定 IAM Roles Anywhere。如需設定的指示 AWS 私有憑證授權單位,請參閱 入門 IAM Roles Anywhere

  • 您已核發應用程式的憑證。如需詳細資訊和說明,請參閱 AWS Certificate Manager 憑證