IAM ロールは、アクセス許可が割り当てられている AWS Identity and Access Management IAM 内のオブジェクトです。IAMの ID または AWS 外部からの ID を使用してそのロールを引き受けると、ロールセッションのための一時的なセキュリティ認証情報が提供されます。データセンターや AWS 以外のインフラストラクチャで実行されるワークロードが、AWS リソースにアクセスしなければならない場合があります。長期的なアクセスキーを作成、配布、管理する代わりに、AWS Identity and Access Management Roles Anywhere (IAM Roles Anywhere) を使用して AWS 以外のワークロードを認証することができます。IAM Roles Anywhere は、認証局 (CA) から発行された X.509 証明書を使用して ID を認証し、IAM ロールによって提供される一時的な認証情報を使用した AWS のサービス への安全なアクセスを提供します。
IAM Roles Anywhere を使用するには
-
AWS Private Certificate Authority を使用して CA を設定するか、独自の PKI インフラストラクチャの CA を使用します。
-
CA を設定したら、IAM Roles Anywhere にトラストアンカーと呼ばれるオブジェクトを作成します。このアンカーは、IAM Roles Anywhere と CA との間に認証目的で信頼を確立します。
-
その後、既存の IAM ロールを設定するか、IAM Roles Anywhere サービスを信頼する新しいロールを作成できます。
-
トラストアンカーを使用して IAM Roles Anywhere で AWS 以外のワークロードを認証します。AWS は、AWS リソースへのアクセスが許可された IAM ロールに AWS 以外のワークロードの一時的な認証情報を付与します。
追加リソース
AWS 以外のワークロードへのアクセスを提供する方法について詳しく知りたい場合は、以下のリソースを参考にすると便利です。
-
IAM Roles Anywhere の設定の詳細については、「IAM Roles Anywhere User Guide」(IAM Roles Anywhere ユーザーガイド) の「What is AWS Identity and Access Management Roles Anywhere」( Roles Anywhere とは) を参照してください。
-
IAM Roles Anywhere のパブリックキーインフラストラクチャ (PKI) を設定する方法については、「AWS セキュリティブログ」の「IAM Roles Anywhere with an external certificate authority
」を参照してください。
