本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 中的憑證型存取控制架構 AWS 您可以使用 AWS Identity and Access Management Roles Anywhere 在 AWS Identity and Access Management (IAM) 中取得臨時安全登入資料,例如在 外部執行的伺服器、容器和應用程式 AWS。您的工作負載可以使用您用來存取 AWS 資源的相同 [IAM 政策和](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。 IAM Roles Anywhere 無需為在 外部操作的工作負載管理長期憑證 AWS 雲端。 若要使用 IAM Roles Anywhere,您的工作負載必須使用憑證[授權單位 (CA) 發行的 X.509 憑證](https://docs.aws.amazon.com/privateca/latest/userguide/PcaTerms.html#terms-ca)。您可以將 CA 註冊 IAM Roles Anywhere 為信任錨點,以在公有金鑰基礎設施與 之間建立信任 IAM Roles Anywhere。在本指南中,您會使用 [AWS 私有憑證授權單位 (AWS 私有 CA)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) 做為 CA,然後與 建立信任 IAM Roles Anywhere。在 的內容中 IAM Roles Anywhere, AWS 私有 CA 可做為信任的來源,以發行具有特定屬性的憑證,這些屬性可用來透過微調政策控制對 AWS 資源的存取。 本指南提供兩種不同的選項,用於設定以憑證為基礎的存取目標 AWS 帳戶 和 中的 AWS 資源 AWS 區域。下圖顯示兩個選項之間的常見資源。 AWS 私有 CA 是在 IAM Roles Anywhere 部署 的相同 帳戶和區域中設定。信任錨點存在於 IAM Roles Anywhere 和 之間 AWS 私有 CA。根據預設,所有 AWS 私有 CA 產生的憑證在簽署過程中都允許使用,並存放在 AWS Certificate Manager (ACM) 中。基於本指南的目的,應用程式正在存取 中的一或多個 Amazon Simple Storage Service (Amazon S3) 儲存貯體 AWS 帳戶。 ![IAM Roles Anywhere 部署在與 相同的帳戶和區域中 AWS 私有 CA。](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/certificate-based-access-controls/images/iam-roles-anywhere-same-account-region.png) 架構必須具有下列功能: + **憑證** – 您可以使用 ACM 來產生憑證。由於 ACM 是區域服務,因此必須 AWS 區域 部署在相同的 中 AWS 私有 CA。由於跨帳戶限制,我們建議您在相同的帳戶中部署 ACM AWS 私有 CA。如需詳細資訊,請參閱 [ACM 文件中的使用 AWS 私有 CA 簽署 ACM 私有憑證的條件](https://docs.aws.amazon.com/acm/latest/userguide/ca-access.html)。 + **憑證授權機構** – 您可以使用 AWS 私有 CA 或使用外部 CA。由於 AWS 私有 CA 是區域服務,因此必須部署在 AWS 區域 與 ACM 和憑證相同的 中。 + **IAM 角色** – 根據您組織的業務或使用案例需求,將 IAM 政策和許可** **映射至 IAM 角色。如需詳細資訊,請參閱 [IAM 文件中的建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。 + **IAM Roles Anywhere 設定檔** – 設定設定檔以指定擔任哪些角色 IAM Roles Anywhere ,以及您的工作負載可以使用暫時登入資料做什麼。在 設定檔中,定義 IAM 工作階段政策以限制為工作階段建立的許可。如需詳細資訊,請參閱 IAM Roles Anywhere 文件中的[設定角色](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html#getting-started-step2)。 + **登入資料協助程式工具** – 使用 IAM Roles Anywhere 提供的登入資料協助程式工具,以取得臨時安全登入資料。如需詳細資訊,請參閱 文件中的 IAM Roles Anywhere [從 取得臨時安全登入 IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/credential-helper.html)資料。 若要委派透過 存取資源的許可 IAM Roles Anywhere,您可以建立具有許可政策和信任政策的 IAM 角色。*許可政策*會授予擔任實體在資源上執行預期任務所需的許可。[信任政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)會指定允許哪些受信任的帳戶成員擔任該角色。在本指南中,許可政策會定義實體可存取的 Amazon S3 儲存貯體,而信任政策會定義可擔任該角色的應用程式。 本指南涵蓋下列案例,以說明 IAM 角色信任政策的組態選項: + [選項 1:應用程式可以擔任連結至 IAM Roles Anywhere 設定檔的任何角色](option-1.md) – 已在 ACM 中從 佈建一或多個憑證, AWS 私有 CA 並與需要存取 AWS 資源的應用程式共用。這些應用程式可以擔任任何連結至 IAM Roles Anywhere 設定檔的角色。這是因為信任政策不會限制哪些應用程式可以採用信任政策。 + [選項 2:應用程式只能擔任信任政策允許的角色](option-2.md) – 已從 在 ACM 中佈建兩個憑證, AWS 私有 CA 並與需要存取 AWS 資源的應用程式共用。由於信任政策中的憑證型存取控制,**應用程式 1** 只能擔任**角色 1**,而**應用程式 2** 只能擔任**角色 2**。 **先決條件** 若要設定這些選項,您必須完成下列操作: 需要存取 AWS 帳戶 和 目標中資源的外部應用程式 AWS 區域。 憑證授權機構是在與 相同的區域中設定 IAM Roles Anywhere。如需設定的指示 AWS 私有憑證授權單位,請參閱 [入門 IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html)。 您已核發應用程式的憑證。如需詳細資訊和說明,請參閱 [AWS Certificate Manager 憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)。