IAM 角色是 AWS Identity and Access Management(IAM)中分配权限的对象。当您担任的角色使用 IAM 身份或来自 AWS 外部的身份时,它会为您提供角色会话的临时安全凭证。您的工作负载可能在数据中心或其他 AWS 外部必须访问您 AWS 资源的基础设施中运行。除了创建、分发和管理长期访问密钥之外,您可以使用 AWS Identity and Access Management Roles Anywhere(IAM Roles Anywhere)来验证您的非 AWS 工作负载。IAM Roles Anywhere 使用您的证书颁发机构(CA)颁发的 X.509 证书对身份进行验证,并安全地使用 IAM 角色提供的临时证书提供对 AWS 服务 的访问权限。
使用 IAM Roles Anywhere
-
设置使用 AWS Private Certificate Authority 的 CA 或者使用来自您自己的 PKI 基础设施的 CA。
-
设置 CA 后,您可以在 IAM Roles Anywhere 中创建一个称为信任锚的对象。此锚点在 IAM Roles Anywhere 和您的 CA 之间建立信任以进行身份验证。
-
然后,您可以配置现有的 IAM 角色,或者创建信任 IAM Roles Anywhere 服务的新角色。
-
使用信任锚点通过 IAM Roles Anywhere 对非 AWS 工作负载进行身份验证。AWS 将非 AWS 工作负载临时凭证授予有权访问您的 AWS 资源的 IAM 角色。
其他资源
以下资源可以帮助您了解有关提供非 AWS 工作负载访问权限的更多信息。
-
有关配置 IAM Roles Anywhere 的更多信息,请参阅《IAM Roles Anywhere 用户指南》中的什么是 AWS Identity and Access Management Roles Anywhere。
-
要了解如何设置 IAM Roles Anywhere 的公有密钥基础设施(PKI),请参阅AWS安全博客中的 IAM Roles Anywhere with an external certificate authority
。
