配景先容
相比于传统使用 AK/SK 在第三方应用中访问 AWS 资源的认证方式, IAM Roles Anywhere 使用证书认证的方式为应用生成临时的身份凭证, 可以有用避免 AK/SK 不测泄漏造成的安全隐患. AWS IAM Roles Anywhere 官方先容
工作流程表现
主要涉及到的几个概念
- Private CA: 可以使用 Amazon Private CA 托管服务 (注: 这个是收费服务, 且价格不菲), 也可以在本地通过 OpenSSL 大概其他证书管理工具自行管理.
- CA Cert: CA 证书.
- Client Cert: 通过 Private CA 给第三方程序签发的应用证书
- Trust Anchor: IAM Roles Anywhere 中的配置项, 用于建立 CA 和关联的 IAM Role 之间信托关系.
- IAM Role: 尺度的 IAM 脚色, 给第三方应用 Assume 用. 需要注意 Role 的 Trust relationship 需要信托 rolesanywhere.amazonaws.com, 详细 Policy 见后面完备内容.
- Profile: 在配置中界说第三方应用可以 Assume 的 IAM Role.
- Get Secrets: 从 IAM Roles Anywhere 获取临时凭证的过程, 效果将包含:
- AccessKeyId
- SecretAccessKey
- SessionToken
- Expiration
配置过程
下面我们将在 Linux 环境中使用 openssl 工具进行证书的相关签发操作.
创建 Certificate Authority (CA)
IAM Roles Anywhere 对 CA 证书的格式有严酷的要求. 在开始详细命令之前, 需要首先检查确认当前系统 OpenSSL 配置文件 /etc/ssl/openssl.cnf 中 [v3_ca] 部门配置应当和下面一致 (关键是keyUsage)
- [ v3_ca ]
- basicConstraints = critical, CA:TRUE
- subjectKeyIdentifier = hash
- authorityKeyIdentifier = keyid:always, issuer:always
- keyUsage = critical, cRLSign, digitalSignature, keyCertSign
Incorrect basic constraints for CA certificate.
接下来开始正式的命令:
- # 创建 CA 私钥
- openssl genrsa -out MyCA.key 4096
- # 创建 CA certificate, 根据向导提示完成属性的填写
- openssl req -new -x509 -days 3650 -key MyCA.key -out MyCA.pem -extensions v3_ca
- # 创建三方应用的私钥
- openssl genrsa -out client.key 4096
- # 创建三方应用的证书申请配置 CSR 文件
- openssl req -new -key client.key -out client.csr
- # 编辑 CSR 中和 version 3 extension 扩展相关的配置
- cat > client.ext<<EOF
- basicConstraints = CA:FALSE
- authorityKeyIdentifier = keyid,issuer
- keyUsage = nonRepudiation, digitalSignature, keyEncipherment, dataEncipherment
- EOF
- # 创建三方应用的证书
- openssl x509 -req -in client.csr -CA MyCA.pem -CAkey MyCA.key -CAcreateserial -out client.pem -days 3650 -sha256 -extfile client.ext
文件名说明MyCA.keyCA 私钥MyCA.pemCA 证书MyCA.srlCA 证书的序列号client.csr三方应用的证书申请 (Certificate Signing Request)client.ext三方应用证书 Version 3 的扩展配置client.key三方应用证书的私钥client.pem三方应用的证书 创建 Trust Anchor
访问 IAM 控制台 > Roles, 在页面底部找到 Roles Anywhere > Manage
Create a trust anchor
选择 External certificate bundle, 粘贴 MyCA.pem 中的内容
复制 Trust anchor 的 ARN, 后面写 Trust policy 会用到.
创建 Role
主要留意 Trust policy, Condition 中粘贴上面复制的 Trust anchor 的 ARN, 其他环节与创建普通 Role 一样, 不再赘述.
- {
- "Version": "2012-10-17",
- "Statement": [
- {
- "Effect": "Allow",
- "Principal": {
- "Service": [
- "rolesanywhere.amazonaws.com"
- ]
- },
- "Action": [
- "sts:AssumeRole",
- "sts:TagSession",
- "sts:SetSourceIdentity"
- ],
- "Condition": {
- "ArnEquals": {
- "aws:SourceArn": [
- "arn:aws-cn:rolesanywhere:cn-northwest-1:000000000000:trust-anchor/7163eb88-0000-0000-0000-362346488bee"
- ]
- }
- }
- }
- ]
- }
起个名字, 选择上面创建好的 Role
复制 Profile 的 ARN, 后面测试会用到
测试
下载 aws_signing_helper 命令行工具用于测试 Roles Anywhere
- # 注意在刚才创建证书的文件夹中执行测试
- wget https://rolesanywhere.amazonaws.com/releases/1.4.0/X86_64/Linux/aws_signing_helper
- chmod +x aws_signing_helper
- # 注意替换 Trust anchor, Profile, Role 对应的 ARN
- ./aws_signing_helper credential-process \
- --certificate client.pem \
- --private-key client.key \
- --trust-anchor-arn arn:aws-cn:rolesanywhere:cn-northwest-1:000000000000:trust-anchor/7163eb88-0000-0000-0000-362346488bee \
- --profile-arn arn:aws-cn:rolesanywhere:cn-northwest-1:000000000000:profile/620512e9-0000-0000-0000-64949541db28 \
- --role-arn arn:aws-cn:iam::000000000000:role/Alian-roles-anywhere-role
确认输出效果中能够看到对应的以下信息表明成功:
- AccessKeyId
- SecretAccessKey
- SessionToken
- Expiration
写入环境变量通过 AWS CLI 测试 STS 身份效果:
- export AWS_ACCESS_KEY_ID=AccessKeyId
- export AWS_SECRET_ACCESS_KEY=SecretAccessKey
- export AWS_SESSION_TOKEN=SessionToken
- export AWS_DEFAULT_REGION=cn-northwest-1
- aws sts get-caller-identity
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
