发布于: Dec 26, 2023
AWS Identity and Access Management (IAM) Roles Anywhere 现已在以下 AWS 区域推出:亚太地区(海得拉巴)、亚太地区(墨尔本)、欧洲(西班牙)、欧洲(苏黎世)、以色列(特拉维夫)和中东(阿联酋)。IAM Roles Anywhere 让在 AWS 外部运行的工作负载能够使用 X.509 数字证书来获取临时 AWS 凭证,并使用您为 AWS 工作负载配置的相同 IAM 角色和策略来访问 AWS 资源。
借助 IAM Roles Anywhere,您可以使用临时凭证来代替长期凭证,这有助于改善您的安全状况。使用 IAM Roles Anywhere 时,您可以在所有工作负载中使用相同的访问控件、部署管道和测试流程,从而降低支持成本和操作复杂性。要开始使用这项功能,您需要在您的 AWS 环境和公钥基础设施 (PKI) 之间建立信任。建立信任的方式是创建一个信任锚,用来引用 AWS Private Certificate Authority (AWS Private CA) 或通过 IAM Roles Anywhere 注册您自己的证书颁发机构 (CA)。通过向配置文件添加一个或多个角色,并支持 IAM Roles Anywhere 代入这些角色,您的工作负载可以使用您的 CA 签发的客户端证书,以便获得访问 AWS 环境的临时凭证。
要获取支持 IAM Roles Anywhere 的 AWS 区域的完整列表,请查看 AWS 文档。IAM Roles Anywhere 无需额外付费即可使用。AWS Private CA 在使用时按 AWS Private CA 标准定价收取费用。要了解有关 IAM Roles Anywhere 的更多信息,请参阅用户指南或博客文章。