为非 AWS 工作负载提供访问权限

IAM 角色是 AWS Identity and Access Management（IAM）中分配权限的对象。当您担任的角色使用 IAM 身份或来自 AWS 外部的身份时，它会为您提供角色会话的临时安全凭证。您的工作负载可能在数据中心或其他 AWS 外部需要访问您 AWS 资源的基础设施中运行。除了创建、分发和管理长期访问密钥之外，您可以使用 AWS Identity and Access Management Roles Anywhere（IAM Roles Anywhere）来验证您的非 AWS 工作负载。IAM Roles Anywhere 使用您的证书颁发机构（CA）颁发的 X.509 证书对身份进行验证，并安全地使用 IAM 角色提供的临时证书提供对 AWS 服务 的访问权限。

要使用 IAM Roles Anywhere，请设置使用 AWS Private Certificate Authority 的 CA 或者使用来自您自己的 PKI 基础设施的 CA。设置 CA 后，您可以在 IAM Roles Anywhere 中创建一个名为信任锚点的对象，以在 IAM 角色 Anywhere 和您的 CA 之间建立信任以进行身份验证。然后，您可以配置现有的 IAM 角色，或者创建信任 IAM Roles Anywhere 服务的新角色。当您的非 AWS 工作负载使用信任锚点通过 IAM Roles Anywhere 进行身份验证时，它们可以获取您的 IAM 角色的临时凭证来访问您的 AWS 资源。

有关配置 IAM Roles Anywhere 的更多信息，请参阅《IAM Roles Anywhere 用户指南》中的什么是 AWS Identity and Access Management Roles Anywhere。