发布于: Sep 22, 2023
AWS Identity and Access Management (IAM) Roles Anywhere 现已在 AWS GovCloud(美国东部)和 AWS GovCloud(美国西部)区域推出。IAM Roles Anywhere 允许在 AWS 之外运行的工作负载使用 IAM 角色和策略访问 AWS 资源,就像 AWS 工作负载一样。IAM Roles Anywhere 允许您的工作负载(如服务器、容器和应用程序)使用 X.509 数字证书来获取临时 AWS 凭证。
借助 IAM Roles Anywhere,您可以使用临时凭证来代替长期凭证,这有助于改善您的安全状况。使用 IAM Roles Anywhere 时,将在您的所有工作负载中使用相同的访问控件、部署管道和测试流程,因此可降低支持成本和操作复杂性。要开始使用这个功能,您首先要在 AWS 环境和公钥基础设施 (PKI) 之间建立信任。为此,您可以创建一个信任锚,在该锚点引用您的 AWS Private Certificate Authority (AWS Private CA) 或通过 IAM Roles Anywhere 注册您自己的证书颁发机构 (CA)。通过向配置文件添加一个或多个角色,并支持 IAM Roles Anywhere 代入这些角色,您的工作负载可以使用您的 CA 签发的客户端证书,向 AWS 发出安全请求,并获得访问 AWS 环境的临时凭证。
IAM Roles Anywhere 无需额外付费即可使用。如果使用该功能,将按 AWS Private CA 标准定价收取费用。要了解有关 IAM Roles Anywhere 的更多信息,请访问用户指南和 AWS 安全性博客文章。