发布于: Jul 6, 2022
AWS Identity and Access Management (IAM) 现在支持在 AWS 外部运行的工作负载使用 IAM Roles Anywhere 来访问 AWS 资源。IAM Roles Anywhere 允许您的工作负载(例如服务器、容器和应用程序)使用 X.509 数字证书来获取临时 AWS 凭证,并使用您为 AWS 工作负载配置的相同 IAM 角色和策略来访问 AWS 资源。
借助 IAM Roles Anywhere,您现在可以使用 AWS 的临时凭证,从而无需管理在 AWS 外部运行的工作负载的长期凭证,这有助于改善您的安保状况。使用 IAM Roles Anywhere 时,将在您的所有工作负载中使用相同的访问控件、部署管道和测试流程,因此可降低支持成本和运营复杂性。要开始使用这个功能,您首先要在 AWS 环境和公钥基础设施 (PKI) 之间建立信任。为此,您可以创建一个信任锚点,在该锚点可引用您的 AWS Certificate Manager Private Certificate Authority (ACM Private CA) 或通过 IAM Roles Anywhere 注册您自己的证书颁发机构 (CA)。通过向配置文件添加一个或多个角色,并支持 IAM Roles Anywhere 代入这些角色,您的应用程序现在可以使用您的 CA 签发的客户端证书,来向 AWS 发出安全请求,并获得访问 AWS 环境的临时凭证。
IAM Roles Anywhere 在大多数商业区域免费提供。有关受支持区域的更多信息,请查看文档。如果使用该功能,将按 ACM 私有 CA 标准定价收取费用。要了解有关 IAM Roles Anywhere 的更多信息,请参阅用户指南。