🕰️ 작성일 : 2025.08.10
AWS Identity and Access Management(IAM) Roles Anywhere를 사용하여 AWS 외부에서 실행되는 서버, 컨테이너, 애플리케이션 등 워크로드에 대한 임시 보안 자격 증명을 IAM에서 얻을 수 있습니다. 임시 보안 자격 증명을 통해 온프레미스 워크로드에서 장기적인 AWS 자격 증명을 관리 할 필요가 없습니다.
IAM Roles Anywhere을 현재 사용하고 있는 Private CA 서버의 인증서를 등록 또는 AWS의 Private CA을 등록하여 PKI와 IAM Roles Anywhere 간의 Trust Anchor을 생성하고, Client는 CA에서 발급한 X.509 인증서를 사용하여 임시 자격 증명을 획득하게 됩니다.
Trust Anchors : AWS 외부에서 실행되는 워크로드는 신뢰된 Private CA에서 발급한 인증서를 사용하여 임시 AWS 자격 증명을 교환하는 방식으로 Trust-Anchor와 인증을 수행합니다.
Roles : IAM에서 생성한 Role을 의미하며, Trust Anchor와의 신뢰관계가 구성된 IAM Role 많이 IAM Roles Anywhere을 통해 Assume 받을 수 있습니다.
Profiles : 프로필을 생성하여 IAM Roles Anywhere가 Assume 할 수 있는 Role의 제한을 부여합니다. Customer-Manage Role, AWS Managed Role, Inline Policy 등을 사용 할 수 있습니다. Profile 생성 시 자격 증명의 유효 시간을 지정 할 수 있습니다.
IAM Roles Anywhere는 요청한 인증서가 공개 키 기반구조의 X.509(PKIX) 표준에 정의된 알고리즘을 사용하여 계정의 Trus-Anchor 로 구성된 인증 기관에 의해 발급되었는지 확인합니다. 최종 엔터티 인증서는 인증에 사용되기 위해 다음 제약 조건을 충족해야 합니다:
인증서는 반드시 X.509 v3이어야 합니다.
기본 제약 조건 확장에 CA 필드가 있는 경우, 그 값은 반드시 false여야 합니다.
키 사용에는 반드시 전자 서명(Digital Signature)이 포함되어야 합니다.
서명 알고리즘은 반드시 SHA256 이상을 포함해야 합니다. MD5와 SHA1 서명 알고리즘은 거부됩니다.
신뢰 앵커(trust anchor)로 사용되는 인증서는 서명 알고리즘에 대해 동일한 요구사항을 충족해야 하지만, 다음과 같은 차이점이 있습니다: