在 中使用憑證型存取控制的重要概念 AWS - AWS 方案指引
最低權限憑證型身分驗證信任錨點和信任模型暫時安全憑證IAM 中的雙層許可AWS 登入資料協助程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 中使用憑證型存取控制的重要概念 AWS

中的憑證型存取控制 AWS 需要了解數個相互依賴的身分驗證和授權概念。例如,最低權限原則會決定透過憑證型身分驗證授予的許可範圍,這會直接影響 AWS Identity and Access Management (IAM) 角色和政策設計。憑證型身分驗證本身倚賴 X.509 憑證驗證與設定的信任錨點,其定義用於憑證驗證的密碼編譯信任鏈。透過此程序產生的臨時安全登入資料具有特定的生命週期特性,會影響工作階段管理和登入資料輪換策略。此外, AWS Identity and Access Management Roles Anywhere 實作雙層許可模型,其中 IAM 角色政策和設定檔組態都必須授權存取。如果不了解這些概念如何互動,實作可能會導致身分驗證失敗、過度特權存取或憑證驗證鏈中的安全漏洞。這些概念構成在憑證型 AWS 存取控制系統中正確設定信任關係、許可界限和憑證生命週期所需的技術基礎。

最低權限

最低權限原則是一種安全概念,建議授予使用者、程式或系統執行其任務所需的最低存取層級 (或許可)。指導理念很簡單 — 實體擁有的許可越少,惡意或意外損壞的風險就越低。

在 的內容中 AWS,此原則特別相關。 AWS 提供各種資源和服務,從虛擬機器到儲存資源。當您建置和管理 AWS 基礎設施時,套用最低權限原則可確保每個實體 (使用者、服務或應用程式) 僅具有正常運作所需的許可,而無其他功能。

在 中實作最低權限 AWS 有下列優點:

  • 安全 – 透過限制存取,您可以降低安全漏洞的潛在影響。如果使用者或服務具有最低許可,則損壞範圍會大幅降低。

  • 合規 – 許多法規架構需要嚴格的存取控制。遵循最低權限原則可協助您滿足這些合規要求。

  • 操作簡單 – 管理許可可能會變得複雜。套用最低權限可讓組態盡可能簡單且易於管理。

憑證型身分驗證

憑證型身分驗證使用數位憑證來驗證裝置、服務或應用程式的身分。X.509 憑證包含識別實體並由信任憑證授權單位簽署的屬性。此身分驗證方法不需要靜態登入資料,並提供密碼編譯的安全方法來建立信任。

雖然身分型身分驗證依賴直接與 IAM 角色使用者相關聯的憑證,但憑證型身分驗證會使用 X.509 憑證來建立身分。憑證型身分驗證透過提供更強大的安全狀態、自動憑證輪換,以及編碼可用於精細存取控制的屬性,在混合環境中提供優勢。

信任錨點和信任模型

您可以透過建立信任錨點,在 IAM Roles Anywhere 與憑證授權單位 (CA) 之間建立信任。 信任錨點是 AWS 私有 CA或外部 CA 來源的參考。使用信任 CA 發行的憑證來交換臨時 AWS 憑證,以信任錨點進行身分 AWS 驗證以外的工作負載。一個中可以有多個信任錨點 AWS 帳戶。如需詳細資訊,請參閱IAM Roles Anywhere 信任模型信任模型會定義驗證憑證的方式,以及成功驗證所需的憑證屬性。

暫時安全憑證

暫時安全登入資料提供對 AWS 資源的時間限制存取,通常持續幾分鐘到幾個小時。與長期存取金鑰不同,這些登入資料會自動過期。這可大幅降低憑證洩露的風險,並簡化分散式系統的存取管理。如需臨時登入資料的詳細資訊,請參閱 IAM 文件中的要求工作負載搭配 IAM 角色使用臨時登入資料來存取 AWS最佳實務。

IAM 中的雙層許可

IAM Roles Anywhere 透過結合 IAM 角色和設定檔來實作雙層許可模型。在設定檔中,您可以定義 IAM 工作階段政策,以限制為工作階段建立的許可。設定檔可以有許多 IAM 角色,但只能有一個工作階段政策。雙層許可模型透過要求在授予存取權之前,在兩層明確允許許可,以提供增強的安全性。以下是兩個圖層:

  • IAM 角色層定義下列項目:

    • 決定哪些實體可以擔任角色的信任政策

    • 指定角色可存取哪些 AWS 資源及其可執行哪些動作的許可政策

    • 可以根據特定條件進一步限制存取的條件元素

  • IAM Roles Anywhere 設定檔層會執行下列動作:

    • 定義可以透過 擔任哪些 IAM 角色 IAM Roles Anywhere

    • 為角色擔任提供額外的控制

    • 做為許可篩選條件,即使 IAM 角色本身允許更廣泛的存取

例如,如果 IAM 角色允許存取 Amazon Simple Storage Service (Amazon S3) 和 Amazon DynamoDB,但設定檔僅允許 Amazon S3 存取,則應用程式只能存取 Amazon S3 資源。這種雙層方法需要兩個層的明確許可,以強制執行最低權限原則。

AWS 登入資料協助程式

透過使用 的登入資料協助程式 (GitHub) IAM Roles Anywhere,您可以透過 AWS Command Line Interface (AWS CLI) 定義在允許應用程式存取 AWS 資源時要使用的信任錨點、設定檔和角色。以下是使用 AWS 登入資料協助程式工具的範例呼叫:

./aws_signing_helper credential-process 
   \--certificate <Path to certificate>
   \--private-key <Path to private key> 
   \--trust-anchor-arn <Trust anchor ARN> 
   \--profile-arn <Profile 1 ARN>
   \--role-arn <Role 1 ARN>

此工具與語言 SDKs 提供credential_process的功能相容。與 AWS SDK 搭配使用時,這些登入資料會在過期之前自動重新整理,不需要額外的登入資料續約實作。登入資料協助程式會管理使用憑證建立簽章的程序,並呼叫端點以取得工作階段登入資料。然後,它會以標準 JSON 格式將臨時安全登入資料傳回給呼叫程序。

如需詳細資訊,請參閱從 取得臨時安全登入 IAM Roles Anywhere資料。