Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan Peran IAM Di Mana Saja untuk mengautentikasi dan AWS SDKs alat
Anda dapat menggunakan IAM Roles Anywhere untuk mendapatkan kredenal keamanan sementara di IAM untuk beban kerja seperti server, kontainer, dan aplikasi yang berjalan di luar. AWS Untuk menggunakan Peran IAM Di Mana Saja, beban kerja Anda harus menggunakan sertifikat X.509. Administrator Cloud Anda harus menyediakan sertifikat dan kunci pribadi yang diperlukan untuk mengonfigurasi Peran IAM Anywhere sebagai penyedia kredensi Anda.
Langkah 1: Konfigurasikan Peran IAM Di Mana Saja
IAM Roles Anywhere menyediakan cara untuk mendapatkan kredensi sementara untuk beban kerja atau proses yang berjalan di luar. AWS Jangkar kepercayaan didirikan dengan otoritas sertifikat untuk mendapatkan kredensi sementara untuk peran IAM terkait. Peran menetapkan izin yang akan dimiliki beban kerja Anda saat kode Anda diautentikasi dengan IAM Roles Anywhere.
Untuk langkah-langkah menyiapkan profil jangkar kepercayaan, peran IAM, dan Peran IAM Di Mana Saja, lihat Membuat jangkar kepercayaan dan profil di Peran Di Mana Saja di Panduan Pengguna IAM AWS Identity and Access Management Roles Anywhere.
catatan
Profil dalam Panduan Pengguna IAM Roles Anywhere mengacu pada konsep unik dalam layanan IAM Roles Anywhere. Ini tidak terkait dengan profil dalam AWS config file bersama.
Langkah 2: Gunakan Peran IAM Di Mana Saja
Untuk mendapatkan kredenal keamanan sementara dari IAM Roles Anywhere, gunakan alat bantu kredenal yang disediakan oleh IAM Roles Anywhere. Alat kredensi mengimplementasikan proses penandatanganan untuk IAM Roles Anywhere.
Untuk petunjuk mengunduh alat bantu kredensi, lihat Memperoleh kredenal keamanan sementara dari AWS Identity and Access Management Peran Di Mana Saja di Panduan Pengguna IAM Roles Anywhere.
Untuk menggunakan kredenal keamanan sementara dari IAM Roles Anywhere with AWS SDKs and the AWS CLI, Anda dapat mengonfigurasi credential_process pengaturan dalam file bersama. AWS config SDKs Dan AWS CLI mendukung penyedia kredensi proses yang digunakan credential_process untuk mengautentikasi. Berikut ini menunjukkan struktur umum yang akan ditetapkancredential_process.
credential_process = [path to helper tool] [command] [--parameter1value] [--parameter2value] [...]
credential-processPerintah alat pembantu mengembalikan kredensi sementara dalam format JSON standar yang kompatibel dengan pengaturan. credential_process Perhatikan bahwa nama perintah berisi tanda hubung tetapi nama pengaturan berisi garis bawah. Perintah ini membutuhkan parameter berikut:
-
private-key— Jalur ke kunci pribadi yang menandatangani permintaan. -
certificate— Jalan menuju sertifikat. -
role-arn— ARN dari peran untuk mendapatkan kredensi sementara untuk. -
profile-arn— ARN profil yang menyediakan pemetaan untuk peran yang ditentukan. -
trust-anchor-arn— ARN dari jangkar kepercayaan yang digunakan untuk mengotentikasi.
Administrator Cloud Anda harus menyediakan sertifikat dan kunci pribadi. Ketiga nilai ARN dapat disalin dari file. AWS Management Console Contoh berikut menunjukkan config file bersama yang mengonfigurasi pengambilan kredensional sementara dari alat pembantu.
[profiledev] credential_process = ./aws_signing_helper credential-process --certificate/path/to/certificate--private-key/path/to/private-key--trust-anchor-arnarn:aws:rolesanywhere:region:account:trust-anchor/TA_ID--profile-arnarn:aws:rolesanywhere:region:account:profile/PROFILE_ID--role-arnarn:aws:iam::account:role/ROLE_ID
Untuk parameter opsional dan detail alat pembantu tambahan, lihat IAM Roles Anywhere Credential
Untuk detail tentang pengaturan konfigurasi SDK itu sendiri dan penyedia kredensi proses, lihat Penyedia kredensi proses di panduan ini.
