本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 IAM Roles Anywhere 驗證 AWS SDKs和工具
<a name="access-rolesanywhere"></a>

您可以使用 IAM Roles Anywhere 在 IAM 中取得臨時安全登入資料，例如在 外部執行的伺服器、容器和應用程式 AWS。若要使用 IAM Roles Anywhere，您的工作負載必須使用 X.509 憑證。您的雲端管理員應提供所需的憑證和私有金鑰，以將 IAM Roles Anywhere 設定為您的憑證提供者。

## 步驟 1：隨處設定 IAM 角色
<a name="config-ira"></a>

IAM Roles Anywhere 提供取得在 外部執行之工作負載或程序的臨時登入資料的方法 AWS。信任錨點會與憑證授權單位建立，以取得相關聯 IAM 角色的臨時憑證。當您的程式碼向 IAM Roles Anywhere 驗證時，該角色會設定工作負載將擁有的許可。

如需設定信任錨點、IAM 角色和 IAM Roles Anywhere 描述檔的步驟，請參閱《IAM [Roles Anywhere 使用者指南》中的在 AWS Identity and Access Management Roles Anywhere 中建立信任錨點和描述檔](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html)。 **

**注意**  
*IAM Roles Anywhere 使用者指南*中的*設定檔*是指 IAM Roles Anywhere 服務中的唯一概念。它與共用 AWS `config`檔案中的設定檔無關。

## 步驟 2：隨處使用 IAM 角色
<a name="use-ira"></a>

若要從 IAM Roles Anywhere 取得臨時安全登入資料，請使用 IAM Roles Anywhere 提供的登入資料協助程式工具。登入資料工具會實作 IAM Roles Anywhere 的簽署程序。

如需下載登入資料協助程式工具的指示，請參閱《IAM [AWS Identity and Access Management Roles Anywhere 使用者指南》中的從 Roles Anywhere 取得臨時安全登入](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/credential-helper.html)資料。 **

若要使用 IAM Roles Anywhere AWS SDKs和 的臨時安全登入資料 AWS CLI，您可以在共用 AWS `config`檔案中設定 `credential_process` 設定。SDKs和 AWS CLI 支援使用 `credential_process` 驗證的程序登入資料提供者。以下顯示設定 的一般結構`credential_process`。

```
credential_process = [path to helper tool] [command] [--parameter1 value] [--parameter2 value] [...]  
```

協助程式工具的 `credential-process`命令會以與 `credential_process`設定相容的標準 JSON 格式傳回臨時登入資料。請注意，命令名稱包含連字號，但設定名稱包含底線。命令需要下列參數：
+ `private-key` – 簽署請求之私有金鑰的路徑。
+ ` certificate` – 憑證的路徑。
+ `role-arn` – 要取得暫時登入資料的 角色 ARN。
+ `profile-arn` – 提供指定角色映射之設定檔的 ARN。
+ `trust-anchor-arn` – 用於驗證的信任錨點 ARN。

您的雲端管理員應該提供憑證和私有金鑰。您可以從 複製這三個 ARN 值 AWS 管理主控台。下列範例顯示共用`config`檔案，用於設定從協助程式工具擷取臨時登入資料。

```
[profile dev]
credential_process = ./aws_signing_helper credential-process --certificate /path/to/certificate --private-key /path/to/private-key --trust-anchor-arn arn:aws:rolesanywhere:region:account:trust-anchor/TA_ID --profile-arn arn:aws:rolesanywhere:region:account:profile/PROFILE_ID --role-arn arn:aws:iam::account:role/ROLE_ID
```

 如需選用參數和其他協助程式工具詳細資訊，請參閱 GitHub 上的 [IAM Roles Anywhere Credential Helper](https://github.com/aws/rolesanywhere-credential-helper#readme)。

如需 SDK 組態設定本身和程序登入資料提供者的詳細資訊，請參閱本指南[程序登入資料提供者](feature-process-credentials.md)中的 。