Como fornecer acesso a workloads que não são da AWS - AWS Identity and Access Management

Como fornecer acesso a workloads que não são da AWS

Um perfil do IAM é um objeto no AWS Identity and Access Management (IAM) que recebe permissões. Quando você assume esse perfil usando uma identidade do IAM ou uma identidade de fora da AWS, credenciais de segurança temporárias são fornecidas para sua sessão de perfil. Você pode ter workloads em execução em seu datacenter ou em outra infraestrutura fora da AWS que precise acessar seus recursos da AWS. Em vez de criar, distribuir e gerenciar chaves de acesso de longo prazo, você pode usar o AWS Identity and Access Management Roles Anywhere (IAM Roles Anywhere) para autenticar suas workloads que não são da AWS. O IAM Roles Anywhere usa certificados X.509 de sua autoridade de certificação (CA) para autenticar identidades e fornecer acesso seguro aos Serviços da AWS com as credenciais temporárias fornecidas por um perfil do IAM.

Para usar o IAM Roles Anywhere, você configura uma CA usando o AWS Certificate Manager Private Certificate Authority ou usa uma CA de sua própria infraestrutura de PKI. Depois de configurar uma CA, você cria um objeto no IAM Roles Anywhere chamado de âncora de confiança para estabelecer confiança entre o IAM Roles Anywhere e sua CA para autenticação. Em seguida, você pode configurar seus perfis existentes do IAM ou criar novos perfis que confiam no serviço do IAM Roles Anywhere. Quando suas workloads que não são da AWS são autenticadas com o IAM Roles Anywhere usando a âncora de confiança, elas podem obter credenciais temporárias para seus perfis do IAM a fim de acessar seus recursos da AWS.

Para obter mais informações sobre como configurar o IAM Roles Anywhere, consulte What is AWS Identity and Access Management Roles Anywhere (O que é AWS Identity and Access Management Roles Anywhere) no Guia do usuário do IAM Roles Anywhere.