本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
非 AWS 工作負載的存取
IAM 角色是 AWS Identity and Access Management (IAM) 中獲指派許可的物件。當您使用來自 外部的 IAM 身分或身分擔任該角色時 AWS,它會為您的角色工作階段提供暫時安全登入資料。您可能在資料中心或 外部的其他基礎設施中執行工作負載 AWS ,這些工作負載必須存取您的 AWS 資源。您可以使用 AWS Identity and Access Management Roles Anywhere (IAM Roles Anywhere) 驗證非 AWS 工作負載,而不是建立、分發和管理長期存取金鑰。IAM Roles Anywhere 使用來自憑證授權單位 (CA) 的 X.509 憑證來驗證身分 AWS 服務 ,並使用 IAM 角色提供的臨時憑證安全地提供對 的存取。
若要使用 IAM Roles Anywhere
-
使用 AWS 私有憑證授權單位設定 CA,或者使用您自己的 PKI 基礎設施中的 CA。
-
設定 CA 之後,在 IAM Roles Anywhere 中建立稱為信任錨的物件。此錨點在 IAM Roles Anywhere 和 CA 之間建立信任,以進行身分驗證。
-
然後您可以設定現有的 IAM 角色,或建立信任 IAM Roles Anywhere 服務的新角色。
-
使用信任錨點透過 IAM Roles Anywhere 驗證您的非 AWS 工作負載。 會將非 AWS 工作負載臨時憑證 AWS 授予可存取您 AWS 資源的 IAM 角色。
其他資源
下列資源可協助您進一步了解如何提供對非AWS 工作負載的存取權。
-
如需設定 IAM Roles Anywhere 的詳細資訊,請參閱《IAM Roles Anywhere 使用者指南》中的 What is AWS Identity and Access Management Roles Anywhere (什麼是 IAM Roles Anywhere)。
-
若要了解如何為 IAM Roles Anywhere 設定公有金鑰基礎設施 (PKI),請參閱 AWS 安全部落格中的 IAM Roles Anywhere with an external certificate authority
。
