本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 上的憑證型存取控制常見問答集 AWS
<a name="faq"></a>

## 什麼是憑證屬性，為什麼它們很重要 IAM Roles Anywhere？
<a name="faq-1"></a>

*憑證屬性*是 X.509 憑證內包含憑證持有者相關資訊的欄位，例如通用名稱、組織或自訂延伸。在 中 AWS Identity and Access Management Roles Anywhere，這些屬性可用於角色信任政策，以實作精細存取控制。這可協助您根據憑證的特性而非其有效性來做出存取決策。

## 臨時登入資料如何使用 IAM Roles Anywhere？
<a name="faq-2"></a>

當工作負載使用憑證進行驗證時， IAM Roles Anywhere 會提供通常持續 15 分鐘至 12 小時的臨時安全登入資料。當這些登入資料過期時，必須重新整理。這可降低憑證洩露的風險。這些登入資料的暫時性質是有助於維護最低權限原則的關鍵安全功能。

## 使用 的優點是什麼 IAM Roles Anywhere？
<a name="faq-3"></a>

相較於使用長期存取金鑰， IAM Roles Anywhere 提供數種優點：
+ 不需要管理或輪換存取金鑰
+ 具有內建驗證的憑證型身分驗證
+ 自動憑證過期和續約
+ 透過憑證屬性進行精細存取控制
+ 透過憑證追蹤改善稽核功能
+ 降低憑證暴露的風險

## 如何與現有的憑證基礎設施 IAM Roles Anywhere 整合？
<a name="faq-4"></a>

IAM Roles Anywhere 可以將憑證授權機構 (CA) 註冊為信任錨點，以整合現有的公有金鑰基礎設施 (PKI)。您可以使用現有的 CA 或 AWS 私有憑證授權單位。註冊為信任錨點時，CA 會發出憑證，可用來驗證工作負載並取得臨時 AWS 憑證。

## 實作最低權限的最佳實務是什麼 IAM Roles Anywhere？
<a name="faq-5"></a>

主要最佳實務包括：
+ 使用憑證屬性將角色假設限制在特定工作負載
+ 根據憑證特性實作特定信任關係
+ 監控 和 log AWS Identity and Access Management (IAM) 角色假設
+ 根據工作負載需求實作嚴格的角色許可
+ 定期稽核角色的信任政策、角色的[身分型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based)，以及設定檔政策