本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM Roles Anywhere 使用憑證型存取控制加強 的安全性
Amazon Web Services,Alberto Sagrado Amador
2025 年 7 月 (文件歷史記錄)
隨著組織擴展雲端足跡並採用自動化,管理非人類身分的安全存取變得越來越重要,例如應用程式、伺服器和容器。傳統方法使用長期憑證或硬式編碼的秘密,但這些方法可能會產生安全風險和營運開銷。 透過允許 以外的工作負載透過 X.509 憑證
組織通常難以擴展存取金鑰、複雜的登入資料輪換,以及強制執行精細存取控制的能力有限。現代安全架構強調零信任原則、just-in-time存取和最低權限原則,所有這些都可以透過正確實作憑證型身分驗證來實現。
本指南示範如何 IAM Roles Anywhere 透過有效管理憑證屬性和 AWS Identity and Access Management (IAM) 角色信任關係,在 中增強安全性。它使用實用的架構範例,示範如何在工作階段中 IAM Roles Anywhere 實作精細存取控制,並強制執行最低權限原則。
架構使用 IAM Roles Anywhere 和 AWS 私有憑證授權單位 (AWS 私有 CA). AWS 私有 CA acts 做為信任錨點,而 AWS Certificate Manager (ACM) 會管理憑證。此基礎反映了實際的安全組態及其影響。
如果沒有 IAM 角色的適當政策組態,則 AWS 私有 CA 發行的任何憑證都可能用於擔任角色。這可能會產生重大的安全漏洞,包括未經授權的角色擔任、資料外洩和憑證洩露。本指南說明如何透過適當設定政策和管理憑證屬性,協助減輕這些風險。
下圖顯示應用程式如何透過 請求存取, IAM Roles Anywhere 然後在目標中執行允許動作的工作流程 AWS 帳戶。
該圖顯示以下工作流程:
-
應用程式向 請求臨時安全登入資料 IAM Roles Anywhere ,並提供其憑證進行身分驗證。
-
IAM Roles Anywhere 使用信任關係向 驗證應用程式 AWS 私有 CA。
-
IAM Roles Anywhere 會產生包含臨時安全登入資料的 JSON 檔案,並將其傳回給應用程式。
-
使用臨時安全登入資料,應用程式會在 中擔任 IAM 角色 AWS 帳戶。
應用程式會執行連接到 IAM 角色和帳戶中的政策所允許的動作。例如,它可能會存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體。
目標對象
本指南適用於雲端架構師、安全工程師和 DevOps 工程師,這些工程師正在實作混合雲端環境的存取控制,或自動化非人類身分的許可管理。本指南也可以協助您遵守法規或符合安全最佳實務。若要了解本指南中的概念和建議,您應該熟悉以下內容:
-
IAM 基本概念
-
公有金鑰基礎設施 (PKI) 和 X.509 憑證管理
-
零信任安全和最低權限存取的原則
-
AWS 服務 用於憑證型身分驗證,例如 IAM Roles Anywhere 和 AWS 私有 CA
目標
使用 IAM Roles Anywhere 和 X.509 憑證進行身分驗證可提供下列關鍵業務成果:
-
增強安全性 – 消除與使用長期登入資料相關的風險
-
降低營運開銷 – 自動化憑證管理和輪換
-
改善合規性 – 提供詳細的稽核追蹤並強制執行最低權限的存取
-
可擴展的管理 – 集中混合環境中的存取控制
-
成本效率 – 降低與安全事件回應工作和管理複雜性相關的成本
