投稿日: Jul 6, 2022
AWS Identity and Access Management (IAM) の IAM Roles Anywhere を使用することで、AWS 外で実行されているワークロードが AWS リソースにアクセスできるようになりました。IAM Roles Anywhere を使用すれば、サーバー、コンテナ、アプリケーションなどのワークロードが X.509 デジタル証明書を利用して一時的な AWS 認証情報を取得できます。これにより、AWS ワークロードが AWS リソースへのアクセスに利用しているのと同じ IAM ロールおよびポリシーを、AWS 外のワークロードが利用できるようになります。
IAM Roles Anywhere を使用することで、AWS の一時的認証情報を利用できるようになりました。これにより、AWS 外で実行されているワークロード用の長期的認証情報を管理する必要がなくなり、セキュリティ体制が強化されます。IAM Roles Anywhere は、ワークロードすべてで同じアクセス制御、デプロイパイプライン、テストプロセスを使用できるようにすることで、サポートコストと運用上の複雑さを軽減します。本機能の使用開始にあたって必要なことは、AWS 環境と公開鍵基盤 (PKI) の間における信頼関係の確立です。そのために、IAM Roles Anywhere で、AWS Certificate Manager Private Certificate Authority (ACM Private CA) を参照するための、または独自の認証機関 (CA) を登録するための信頼アンカーを作成します。1 つ以上のロールをプロフィールに追加して、IAM Roles Anywhere がそれらのロールを引き受けられるようにすると、アプリケーションが CA の発行するクライアント証明書を使用して AWS に安全なリクエストを行い、AWS 環境にアクセスするための一時的認証情報を取得します。
IAM Roles Anywhere は、ほとんどの商用リージョンにおいて追加料金なしで使用できます。対応リージョンの詳細については、こちらのドキュメントをご参照ください。ACM Private CA の使用には、同サービスの標準料金が適用されます。IAM Roles Anywhere の詳細については、ユーザーガイドをご参照ください。