投稿日: Sep 22, 2023
AWS Identity and Access Management (IAM) Roles Anywhere が AWS GovCloud (米国東部) リージョンと AWS GovCloud (米国西部) リージョンで利用できるようになりました。IAM Roles Anywhere を使用すると、AWS の外部で実行されるワークロードが、AWS ワークロードから行うのと同じ方法で IAM ロールとポリシーを使用して AWS リソースにアクセスできます。IAM Roles Anywhere を使用すると、サーバー、コンテナ、アプリケーションなどのワークロードが X.509 デジタル証明書を使って一時的な AWS 認証情報を取得できます。
IAM Roles Anywhere では、長期間有効な認証情報の代わりに一時的な認証情報を使用できるため、セキュリティ体制の向上に役立ちます。IAM Roles Anywhere は、ワークロードすべてで同じアクセス制御、デプロイパイプライン、テストプロセスを使用できるようにすることで、サポートコストと運用上の複雑さを軽減します。本機能の使用開始にあたって必要なことは、AWS 環境と公開鍵基盤 (PKI) の間における信頼関係の確立です。そのために、IAM Roles Anywhere で、AWS Private Certificate Authority (AWS Private CA) を参照するための、または独自の認証機関 (CA) を登録するためのトラストアンカーを作成します。1 つ以上のロールをプロフィールに追加して、IAM Roles Anywhere がそれらのロールを引き受けられるようにすると、ワークロードが CA の発行するクライアント証明書を使用して AWS に安全なリクエストを行い、AWS 環境にアクセスするための一時的認証情報を取得します。
IAM Roles Anywhere は追加料金なしでご利用いただけます。AWS プライベート CA の使用には、同サービスの標準料金が適用されます。IAM Roles Anywhere の詳細については、ユーザーガイドと AWS セキュリティのブログ投稿をご覧ください。