Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Abrufen von Sicherheitsanmeldeinformationen aus Instance-Metadaten
Eine Anwendung auf der Instance ruft die von der Rolle bereitgestellten Sicherheitsanmeldeinformationen aus dem Instance-Metadatenelement iam/security-credentials/Rollenname ab. Über die mit der Rolle verknüpften Sicherheitsanmeldeinformationen werden der Anwendung die Berechtigungen für die Aktionen und Ressourcen gewährt, die Sie für die Rolle definiert haben. Diese Sicherheitsanmeldeinformationen sind temporär und werden automatisch gewechselt. Neue Anmeldeinformationen stehen spätestens fünf Minuten vor dem Ablauf der alten zur Verfügung.
Weitere Informationen zu Instance-Metadaten erhalten Sie unter Verwenden Sie Instanz-Metadaten, um Ihre EC2 Instanz zu verwalten.
Warnung
Wenn Sie Services verwenden, die Instance-Metadaten mit IAM -Rollen nutzen, müssen Sie sicherstellen, dass Sie Ihre Anmeldeinformationen nicht zur Verfügung stellen, wenn die Services HTTP Aufrufe in Ihrem Auftrag senden. Zu den Service-Typen, die Anmeldeinformationen verfügbar machen könnten, gehören HTTP Proxys, HTML CSS /Validierungs-Services und XML Prozessoren, die Inklusion unterstützen. XML
Für Ihre EC2 Amazon-Workloads empfehlen wir, dass Sie die Anmeldeinformationen für die Sitzung mit der unten beschriebenen Methode abrufen. Diese Anmeldeinformationen sollten es Ihrem Workload ermöglichen, AWS API Anfragen zu stellen, ohne dieselbe Rolle sts:AssumeRole zu übernehmen, die bereits mit der Instance verknüpft ist. Nur wenn Sie Sitzungs-Tags für die attributbasierte Zugriffskontrolle (ABAC) übergeben oder eine Sitzungsrichtlinie übergeben müssen, um die Berechtigungen der Rolle weiter einzuschränken, sind solche Rollenannahmeaufrufe erforderlich, da sie einen neuen Satz derselben temporären Anmeldeinformationen für die Rollensitzung erstellen.
Wenn Ihr Workload eine Rolle verwendet, um sich selbst anzunehmen, müssen Sie eine Vertrauensrichtlinie erstellen, die ausdrücklich zulässt, dass diese Rolle sich selbst annimmt. Wenn Sie die Vertrauensrichtlinie nicht erstellen, erhalten Sie eine AccessDenied Fehlermeldung. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Ändern einer Rollenvertrauensrichtlinie.
Mit dem folgenden Befehl werden die Sicherheitsanmeldeinformationen für eine IAM -Rolle namens s3access abgerufen.
Es folgt eine Beispielausgabe. Wenn Sie die Sicherheitsanmeldedaten nicht abrufen können, finden Sie im IAMBenutzerhandbuch weitere Informationen unter Ich kann nicht auf die temporären Sicherheitsanmeldedaten auf meiner EC2 Instance zugreifen.
{
"Code" : "Success",
"LastUpdated" : "2012-04-26T16:39:16Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "ASIAIOSFODNN7EXAMPLE",
"SecretAccessKey" : "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
"Token" : "token",
"Expiration" : "2017-05-17T15:09:54Z"
}Für Anwendungen AWS CLI, - und Tools for PowerShell Windows-Befehle, die auf der Instance ausgeführt werden, müssen Sie die temporären Sicherheitsanmeldeinformationen nicht explizit abrufen — die Anmeldeinformationen AWS SDKs rufen die Anmeldeinformationen PowerShell automatisch aus dem EC2 Instance-Metadaten-Service ab und verwenden sie. AWS CLI Für einen Aufruf außerhalb der Instance mithilfe der temporären Sicherheitsanmeldeinformationen (beispielsweise um IAM -Richtlinien zu testen) müssen Sie den Zugriffsschlüssel, den geheimen Schlüssel und das Sitzungs-Token zur Verfügung stellen. Weitere Informationen zu temporären Anmeldeinformationen finden Sie unter Verwenden von temporären Sicherheitsanmeldeinformationen, um den Zugriff auf AWS Ressourcen anzufordern im IAMBenutzerhandbuch.
