发布于: Mar 7, 2023
Amazon Identity and Access Management(IAM)现在允许在亚马逊云科技云之外运行的工作负载使用 IAM Roles Anywhere 访问亚马逊云科技资源。IAM Roles Anywhere 允许您的服务器、容器和应用程序等工作负载,使用 X.509 数字证书获取临时亚马逊云科技凭证,并使用您为亚马逊云科技工作负载配置的相同 IAM 角色和策略访问亚马逊云科技资源。
借助 IAM Roles Anywhere,您现在可以在亚马逊云科技云上使用临时凭证,无需管理在亚马逊云科技云之外运行的工作负载的长期凭证,这有助于改善您的安全状况。使用 IAM Roles Anywhere 可以通过在所有工作负载中使用相同的访问控制、部署管道和测试流程来降低支持成本和操作复杂性。首先,您可以在亚马逊云科技环境和公有密钥基础设施(PKI)之间建立信任。您可以通过创建信任锚来实现此目的,在其中使用 IAM Roles Anywhere 注册自己的证书颁发机构(CA)。通过向配置文件添加一个或多个角色并启用 IAM Roles Anywhere 承担这些角色,您的应用程序现在可以使用您的 CA 颁发的客户端证书向亚马逊云科技云发出安全请求,并获取访问亚马逊云科技环境的临时凭证。