輪換 IAM 身分中心憑證 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

輪換 IAM 身分中心憑證

輪換 IAM 身分中心憑證是一個包含下列各項的多步驟程序:

  • 產生新憑證

  • 將新憑證新增至服務供應商的網站

  • 將新憑證設定為使用中

  • 刪除非作用中的憑證

請依照下列順序使用下列所有程序,完成指定應用程式的憑證輪替程序。

步驟 1:產生新憑證。

您可以將您產生的新 IAM 身分中心憑證設定為使用下列屬性:

  • 有效期 — 指定新 IAM 身分中心憑證到期前所分配的時間 (以月為單位)。

  • 金鑰大小 — 決定金鑰必須與其密碼編譯演算法搭配使用的位元數。您可以將此值設定為 1024 位元 RSA 或 2048 位元 RSA。如需密碼編譯中金鑰大小如何運作的一般資訊,請參閱金鑰大小

  • 演算法 — 指定 IAM 身分中心在簽署 SAML 宣告/回應時使用的演算法。您可以將這個值設定為 SHA-1 或 SHA-256。 AWS 除非您的服務供應商需要 SHA-1,否則建議盡可能使用 SHA-256。如需密碼編譯演算法如何運作的一般資訊,請參閱公開金鑰加密。

  1. 開啟 IAM 身分中心主控台

  2. 選擇 Applications (應用程式)

  3. 在應用程式清單中,選擇您要產生新憑證的應用程式。

  4. 在應用程式詳細資訊頁面上,選擇組態索引標籤。在 IAM 身分中心中繼資料下,選擇 [管理憑證]。 如果您沒有 [組態] 索引標籤或無法使用組態設定,則不需要輪換此應用程式的憑證。

  5. 在 [IAM 身分中心憑證] 頁面上,選擇 [產生新憑證]。

  6. 在 [產生新的 IAM 身分中心憑證] 對話方塊中,為 [有效期間]、[演算法] 和 [金鑰大小] 指定適當的值。然後選擇「產生」。

步驟 2:更新服務供應商的網站。

使用下列程序來重新建立與應用程式服務提供者的信任。

重要

當您將新憑證上傳至服務提供者時,您的使用者可能無法取得驗證。若要修正此情況,請將新憑證設定為使用中,如下一個步驟所述。

  1. IAM 身分中心主控台中,選擇剛為其產生新憑證的應用程式。

  2. 在應用程式詳細資訊頁面上,選擇編輯組態

  3. 選擇 [檢視指示],然後依照特定應用程式服務提供者網站的指示來新增新產生的憑證。

步驟 3:將新憑證設定為使用中。

一個應用程式最多可以指派兩個憑證。IAM 身分中心將使用設定為作用中的認證來簽署所有 SAML 宣告。

  1. 開啟 IAM 身分中心主控台

  2. 選擇 Applications (應用程式)

  3. 在應用程式清單中,選擇您的應用程式。

  4. 在應用程式詳細資訊頁面上,選擇組態索引標籤。在 IAM 身分中心中繼資料下,選擇 [管理憑證]。

  5. IAM 身分中心憑證頁面上,選取要設定為作用中的憑證,選擇 [動作],然後選擇 [設定為作用中]。

  6. 在 [將選取的憑證設定為作用中的憑證] 對話方塊中,確認您瞭解將憑證設定為使用中可能需要您重新建立信任,然後選擇 [啟動]。

步驟 4:刪除舊證書。

請使用下列程序來完成應用程式的憑證輪替程序。您只能刪除處於非作用中狀的憑證。

  1. 開啟 IAM 身分中心主控台

  2. 選擇 Applications (應用程式)

  3. 在應用程式清單中,選擇您的應用程式。

  4. 在應用程式詳細資訊頁面上,選取組態索引標籤。在 IAM 身分中心中繼資料下,選擇 [管理憑證]。

  5. IAM 身分中心憑證頁面上,選取您要刪除的憑證。選擇 Actions (動作),然後選擇 Delete (刪除 VPC)

  6. 在 [刪除憑證] 對話方塊中,選擇 [刪除]。