为非 Amazon 工作负载提供访问权限 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为非 Amazon 工作负载提供访问权限

IAM 角色是 Amazon Identity and Access Management(IAM)中分配权限的对象。当您担任的角色使用 IAM 身份或来自 Amazon 外部的身份时,它会为您提供角色会话的临时安全凭证。您的工作负载可能在数据中心或其他 Amazon 外部需要访问您 Amazon 资源的基础设施中运行。除了创建、分发和管理长期访问密钥之外,您可以使用 Amazon Identity and Access Management Roles Anywhere(IAM Roles Anywhere)来验证您的非 Amazon 工作负载。IAM Roles Anywhere 使用您的证书颁发机构(CA)颁发的 X.509 证书对身份进行验证,并安全地使用 IAM 角色提供的临时证书提供对 Amazon Web Services 的访问权限。

要使用 IAM Roles Anywhere,请设置使用 Amazon Private Certificate Authority 的 CA 或者使用来自您自己的 PKI 基础设施的 CA。设置 CA 后,您可以在 IAM Roles Anywhere 中创建一个名为信任锚点的对象,以在 IAM 角色 Anywhere 和您的 CA 之间建立信任以进行身份验证。然后,您可以配置现有的 IAM 角色,或者创建信任 IAM Roles Anywhere 服务的新角色。当您的非 Amazon 工作负载使用信任锚点通过 IAM Roles Anywhere 进行身份验证时,它们可以获取您的 IAM 角色的临时凭证来访问您的 Amazon 资源。