Rôles Anywhere IAM - AWS SDKset outils
Étape 1 : configurer les rôles IAM n'importe oùÉtape 2 : Utiliser les rôles IAM n'importe où

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles Anywhere IAM

Vous pouvez utiliser IAM Roles Anywhere pour obtenir des informations d'identification de sécurité temporaires dans IAM pour les charges de travail telles que les serveurs, les conteneurs et les applications qui s'exécutent en dehors de. AWS Pour utiliser IAM Roles Anywhere, vos charges de travail doivent utiliser des certificats X.509. Votre administrateur cloud doit fournir le certificat et la clé privée nécessaires pour configurer IAM Roles Anywhere en tant que fournisseur d'informations d'identification.

Étape 1 : configurer les rôles IAM n'importe où

IAM Roles Anywhere permet d'obtenir des informations d'identification temporaires pour une charge de travail ou un processus qui s'exécute en dehors deAWS. Une ancre de confiance est établie avec l'autorité de certification afin d'obtenir des informations d'identification temporaires pour le rôle IAM associé. Le rôle définit les autorisations dont bénéficiera votre charge de travail lorsque votre code s'authentifie auprès d'IAM Roles Anywhere.

Pour connaître les étapes de configuration de l'ancre de confiance, du rôle IAM et du profil IAM Roles Anywhere, consultez la section Création d'une ancre de confiance et d'un profil dans AWS Identity and Access Management Roles Anywhere du guide de l'utilisateur d'IAM Roles Anywhere.

Note

Un profil figurant dans le guide de l'utilisateur d'IAM Roles Anywhere fait référence à un concept unique au sein du service IAM Roles Anywhere. Cela n'est pas lié aux profils contenus dans le AWS config fichier partagé.

Étape 2 : Utiliser les rôles IAM n'importe où

Pour obtenir des informations d'identification de sécurité temporaires auprès d'IAM Roles Anywhere, utilisez l'outil d'aide aux informations d'identification fourni par IAM Roles Anywhere. L'outil d'identification met en œuvre le processus de signature pour IAM Roles Anywhere.

Pour obtenir des instructions sur le téléchargement de l'outil d'aide aux informations d'identification, consultez la section Obtention d'informations d'identification de sécurité temporaires auprès de AWS Identity and Access Management Roles Anywhere dans le guide de l'utilisateur d'IAM Roles Anywhere.

Pour utiliser les informations d'identification de sécurité temporaires d'IAM Roles Anywhere avec AWS les SDK et leAWS CLI, vous pouvez configurer les credential_process paramètres dans le fichier partagé AWSconfig. Les SDK et le AWS CLI support sont un fournisseur d'informations d'identification de processus utilisé credential_process pour l'authentification. Ce qui suit montre la structure générale à définircredential_process.

credential_process = [path to helper tool] [command] [--parameter1 value] [--parameter2 value] [...]

La credential-process commande de l'outil d'assistance renvoie des informations d'identification temporaires dans un format JSON standard compatible avec le credential_process paramètre. Notez que le nom de la commande contient un trait d'union mais que le nom du paramètre contient un trait de soulignement. La commande nécessite les paramètres suivants :

  • private-key— Le chemin d'accès à la clé privée qui a signé la demande.

  • certificate— Le chemin d'accès au certificat.

  • role-arn— L'ARN du rôle pour lequel vous souhaitez obtenir des informations d'identification temporaires.

  • profile-arn— L'ARN du profil qui fournit un mappage pour le rôle spécifié.

  • trust-anchor-arn— L'ARN de l'ancre de confiance utilisée pour l'authentification.

Votre administrateur cloud doit fournir le certificat et la clé privée. Les trois valeurs ARN peuvent être copiées depuis leAWS Management Console. L'exemple suivant montre un config fichier partagé qui configure la récupération d'informations d'identification temporaires à partir de l'outil d'assistance. 

[profile dev]
credential_process = ./aws_signing_helper credential-process --certificate /path/to/certificate --private-key /path/to/private-key --trust-anchor-arn arn:aws:rolesanywhere:region:account:trust-anchor/TA_ID --profile-arn arn:aws:rolesanywhere:region:account:profile/PROFILE_ID --role-arn arn:aws:iam::account:role/ROLE_ID

Pour les paramètres facultatifs et des informations supplémentaires sur les outils d'assistance, voir IAM Roles Anywhere Credential Helper on. GitHub

Pour plus de détails sur le paramètre de configuration du SDK lui-même et sur le fournisseur d'informations d'identification du processus, consultez ce Fournisseur d'identifiants de processus guide.