本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM Roles Anywhere
您可以使用 IAM Roles Anywhere 在 IAM 中获取临时安全凭证,以用于在 Amazon 之外运行的服务器、容器和应用程序等工作负载。要使用 IAM Roles Anywhere,您的工作负载必须使用 X.509 证书。您的云管理员应提供所需的证书和私钥,以便将 IAM Roles Anywhere 配置为凭证提供者。
第 1 步:配置 IAM Roles Anywhere
IAM Roles Anywhere 提供了一种方法,用于获取在 Amazon 外部运行的工作负载或流程的临时凭证。与证书颁发机构建立信任锚,以获取关联的 IAM 角色的临时凭证。该角色设置当您的代码使用 IAM Roles Anywhere 进行身份验证时您的工作负载将拥有的权限。
有关设置信任锚、IAM 角色和 IAM Roles Anywhere 配置文件的步骤,请参阅 IAM Roles Anywhere 用户指南中的在 Amazon Identity and Access Management Roles Anywhere 中创建信任锚和配置文件。
注意
IAM Roles Anywhere 用户指南中的配置文件指的是 IAM Roles Anywhere 服务中的一个独特概念。它与共享的 Amazon config文件中的配置文件无关。
第 2 步:使用 IAM Roles Anywhere
要从 IAM Roles Anywhere 获取临时安全凭证,请使用 IAM Roles Anywhere 提供的凭证助手。凭证工具可实现 IAM Roles Anywhere 的签名流程。
有关下载凭证助手工具的说明,请参阅 IAM Roles Anywhere 用户指南中的从 Amazon Identity and Access Management Roles Anywhere 获取临时安全凭证。
要将从 IAM Roles Anywhere 获取的临时安全凭证与 Amazon SDK 和 Amazon CLI 一起使用,您可以在共享的 Amazon config文件中配置credential_process设置。SDK 和 Amazon CLI 支持使用 credential_process 进行身份验证的流程凭证提供者。下面显示了要设置credential_process的一般结构。
credential_process = [path to helper tool] [command] [--parameter1value] [--parameter2value] [...]
助手工具的 credential-process 命令以与 credential_process 设置兼容的标准 JSON 格式返回临时凭证。请注意,命令名称包含连字符,而设置名称包含下划线。命令需要使用以下参数:
-
private-key– 签署请求的私钥的路径。 -
certificate– 证书的路径。 -
role-arn– 要为其获取临时凭证的角色的 ARN。 -
profile-arn– 为指定角色提供映射的配置文件的 ARN。 -
trust-anchor-arn– 用于身份验证的信任锚的 ARN。
您的云管理员将提供证书和私钥。所有三个 ARN 值都可以从 Amazon Web Services Management Console 复制。以下示例显示了共享config文件,该文件配置了从助手工具检索临时凭证。
[profiledev] credential_process = ./aws_signing_helper credential-process --certificate/path/to/certificate--private-key/path/to/private-key--trust-anchor-arnarn:aws:rolesanywhere:region:account:trust-anchor/TA_ID--profile-arnarn:aws:rolesanywhere:region:account:profile/PROFILE_ID--role-arnarn:aws:iam::account:role/ROLE_ID
有关可选参数和其他助手工具的详细信息,请参阅 GitHub 上的 IAM Roles Anywhere 凭证助手
有关 SDK 配置设置本身和流程凭证提供者的详细信息,请参阅本指南中的 进程凭证提供者。