非 Amazon 工作负载的访问权限
IAM 角色是 Amazon Identity and Access Management(IAM)中分配权限的对象。当您担任的角色使用 IAM 身份或来自 Amazon 外部的身份时,它会为您提供角色会话的临时安全凭证。您的工作负载可能在数据中心或其他 Amazon 外部必须访问您 Amazon 资源的基础设施中运行。除了创建、分发和管理长期访问密钥之外,您可以使用 Amazon Identity and Access Management Roles Anywhere(IAM Roles Anywhere)来验证您的非 Amazon 工作负载。IAM Roles Anywhere 使用您的证书颁发机构(CA)颁发的 X.509 证书对身份进行验证,并安全地使用 IAM 角色提供的临时证书提供对 Amazon Web Services 服务 的访问权限。
使用 IAM Roles Anywhere
-
设置使用 Amazon Private Certificate Authority 的 CA 或者使用来自您自己的 PKI 基础设施的 CA。
-
设置 CA 后,您可以在 IAM Roles Anywhere 中创建一个称为信任锚的对象。此锚点在 IAM Roles Anywhere 和您的 CA 之间建立信任以进行身份验证。
-
然后,您可以配置现有的 IAM 角色,或者创建信任 IAM Roles Anywhere 服务的新角色。
-
使用信任锚点通过 IAM Roles Anywhere 对非 Amazon 工作负载进行身份验证。Amazon 将非 Amazon 工作负载临时凭证授予有权访问您的 Amazon 资源的 IAM 角色。
其他 资源
以下资源可以帮助您了解有关提供非 Amazon 工作负载访问权限的更多信息。
-
要了解如何设置 IAM Roles Anywhere 的公有密钥基础设施(PKI),请参阅Amazon安全博客中的 IAM Roles Anywhere with an external certificate authority
。