Beispiel 4: Bucket-Besitzer gewährt kontoübergreifende Berechtigungen für Objekte, die er nicht besitzt - Amazon Simple Storage Service
Grundlegendes zu kontoübergreifenden Berechtigungen und zur Verwendung von Rollen IAMSchritt 0: Vorbereitung auf den WalkthroughSchritt 1: Erledigen der Aufgaben von Konto ASchritt 2: Erledigen der Aufgaben von Konto BSchritt 3: Führen Sie die Aufgaben von Konto C ausSchritt 4: BereinigenZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel 4: Bucket-Besitzer gewährt kontoübergreifende Berechtigungen für Objekte, die er nicht besitzt

In diesem Beispielszenario besitzen Sie einen Bucket und haben anderen AWS-Konten das Hochladen von Objekten ermöglicht. Wenn Sie die vom Bucket-Eigentümer erzwungene Einstellung für S3 Object Ownership für den Bucket angewendet haben, besitzen Sie alle Objekte im Bucket, einschließlich der Objekte, die von einem anderen AWS-Konto geschrieben wurden. Dieser Ansatz behebt das Problem, dass Objekte nicht Ihnen, dem Bucket-Besitzer, gehören. Anschließend können Sie die Berechtigung an Benutzer in Ihrem eigenen Konto oder an andere AWS-Konten. Angenommen, die erzwungene Einstellung des Bucket-Eigentümers für S3 Object Ownership ist nicht aktiviert. Das bedeutet, Ihr Bucket kann Objekte enthalten, die anderen AWS-Konten gehören.

Angenommen, Sie müssen als Bucket-Eigentümer einem Benutzer in einem anderen Konto eine kontenübergreifende Berechtigung für Objekte erteilen, unabhängig davon, wer der Eigentümer ist. Dieser Benutzer könnte beispielsweise eine Buchhaltungsanwendung sein, die Zugriff auf Objekt-Metadaten benötigt. Es gibt zwei Kernprobleme:

  • Der Bucket-Eigentümer hat keine Berechtigungen für diese Objekte, die von anderen AWS-Konten erstellt wurden. Damit der Bucket-Besitzer Berechtigungen für Objekte gewähren kann, die ihm nicht gehören, muss der Objekteigentümer zuerst dem Bucket-Besitzer die entsprechenden Rechte erteilen. Der Objekteigentümer ist derjenige AWS-Konto , der die Objekte erstellt hat. Der Bucket-Eigentümer kann diese Berechtigungen delegieren.

  • Das Konto des Bucket-Besitzers kann Berechtigungen an Benutzer in seinem eigenen Konto delegieren (sieheBeispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören). Das Konto des Bucket-Besitzers kann jedoch keine Berechtigungen an andere delegieren, AWS-Konten da die kontoübergreifende Delegierung nicht unterstützt wird.

In diesem Szenario kann der Bucket-Besitzer eine Rolle AWS Identity and Access Management (IAM) mit der Berechtigung für den Zugriff auf Objekte erstellen. Anschließend kann der Bucket-Besitzer eine weitere AWS-Konto Berechtigung zur Übernahme der Rolle gewähren, sodass er vorübergehend auf Objekte im Bucket zugreifen kann.

Anmerkung

S3 Object Ownership ist eine Einstellung auf Amazon S3 S3-Bucket-Ebene, mit der Sie sowohl das Eigentum an den Objekten kontrollieren können, die in Ihren Bucket hochgeladen werden, als auch um sie zu deaktivieren oder zu aktivieren. ACLs Standardmäßig ist für Object Ownership die erzwungene Einstellung des Bucket-Besitzers festgelegt, und alle sind ACLs deaktiviert. Wenn ACLs diese Option deaktiviert ist, besitzt der Bucket-Besitzer alle Objekte im Bucket und verwaltet den Zugriff darauf ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.

Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlichACLs. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Ausnahmefällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn diese ACLs Option deaktiviert ist, können Sie mithilfe von Richtlinien den Zugriff auf alle Objekte in Ihrem Bucket steuern, unabhängig davon, wer die Objekte in Ihren Bucket hochgeladen hat. Weitere Informationen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

Grundlegendes zu kontoübergreifenden Berechtigungen und zur Verwendung von Rollen IAM

IAMRollen ermöglichen verschiedene Szenarien, um den Zugriff auf Ihre Ressourcen zu delegieren, und der kontenübergreifende Zugriff ist eines der wichtigsten Szenarien. In diesem Beispiel verwendet der Bucket-Besitzer, Konto A, eine IAM Rolle, um vorübergehend den kontoübergreifenden Objektzugriff an Benutzer in einem anderen Konto AWS-Konto, Konto C, zu delegieren. Jeder IAM Rolle, die Sie erstellen, sind die folgenden zwei Richtlinien zugeordnet:

  • Eine Vertrauensrichtlinie, die eine andere Person identifiziert AWS-Konto , die die Rolle übernehmen kann.

  • Eine Zugriffsrichtlinie, die definiert, welche Berechtigungen – z. B. s3:GetObject – zulässig sind, wenn jemand die Rolle einnimmt. Eine Liste aller Berechtigungen, die Sie in einer Richtlinie angeben können, finden Sie unter Politische Maßnahmen für Amazon S3.

Die AWS-Konto in der Vertrauensrichtlinie angegebene Person erteilt ihrem Benutzer dann die Erlaubnis, die Rolle zu übernehmen. Der Benutzer kann dann wie folgt auf Objekte zugreifen:

  • Die Rolle einnehmen und daraufhin temporäre Sicherheitsanmeldeinformationen erhalten.

  • Verwenden der temporären Sicherheitsanmeldeinformationen, um auf die Objekte im Bucket zuzugreifen.

Weitere Informationen zu IAM IAMRollen finden Sie im IAMBenutzerhandbuch unter Rollen.

Im Folgenden finden Sie eine Zusammenfassung der exemplarischen Schritte:

Kontoübergreifende Berechtigungen mithilfe von IAM Rollen.

  1. Der Administrator-Benutzer von Konto A ordnet eine Bucket-Richtlinie zu, die Konto B die bedingte Berechtigung erteilt, Objekte hochzuladen.

  2. Der Administrator von Konto A erstellt eine IAM Rolle und stellt so eine Vertrauensstellung mit Konto C her, sodass Benutzer in diesem Konto auf Konto A zugreifen können. Die der Rolle zugeordnete Zugriffsrichtlinie schränkt ein, was der Benutzer in Konto C tun kann, wenn der Benutzer auf Konto A zugreift.

  3. Der Administrator von Konto B lädt ein Objekt in den Bucket hoch, der Konto A gehört, und erteilt dem Bucket-Eigentümer vollständige Berechtigungen.

  4. Der Administrator von Konto C erstellt einen Benutzer und ordnet ihm eine Benutzerrichtlinie zu, die dem Benutzer gestattet, die Rolle zu übernehmen.

  5. Der Benutzer in Konto C übernimmt zuerst die Rolle, womit er temporäre Sicherheitsanmeldeinformationen erhält. Unter Verwendung dieser temporären Sicherheitsanmeldeinformationen greift der Benutzer dann auf die Objekte im Bucket zu.

Für dieses Beispiel benötigen Sie drei Konten. Die folgende Tabelle zeigt, wie wir auf diese Konten und die Administrator-Benutzer in diesen Konten verweisen. Gemäß den IAM Richtlinien (sieheInformationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen) verwenden wir die Root-Benutzer des AWS-Kontos Anmeldeinformationen in dieser exemplarischen Vorgehensweise nicht. Stattdessen erstellen Sie einen Administrator-Benutzer in jedem Konto, und verwenden dessen Anmeldeinformationen, um Ressourcen zu erstellen und ihnen Berechtigungen zu erteilen.

AWS-Konto Ausweis Konto bezeichnet als Administratorbenutzer im Konto

1111-1111-1111

Konto A

AccountAadmin

2222-2222-2222

Konto B

AccountBadmin

3333-3333-3333

Konto C

AccountCadmin

Schritt 0: Vorbereitung auf den Walkthrough

Anmerkung

Möglicherweise möchten Sie einen Texteditor öffnen und einige Informationen aufschreiben, während Sie die Schritte ausführen. Insbesondere benötigen Sie ein KontoIDs, einen kanonischen BenutzerIDs, eine IAM Benutzeranmeldung URLs für jedes Konto, um eine Verbindung zur Konsole herzustellen, sowie Amazon-Ressourcennamen (ARNs) der IAM Benutzer und Rollen.

  1. Stellen Sie sicher, dass Sie drei Benutzer haben AWS-Konten und dass jedes Konto über einen Administratorbenutzer verfügt, wie in der Tabelle im vorherigen Abschnitt dargestellt.

    1. Melden Sie sich bei Bedarf für AWS-Konten an. Wir bezeichnen diese Konten als Konto A, Konto B und Konto C.

    2. Melden Sie sich mit den Anmeldeinformationen von Konto A bei der IAMKonsole an und gehen Sie wie folgt vor, um einen Administratorbenutzer zu erstellen:

      • Erstellen Sie einen Benutzer AccountAadmin und notieren Sie sich seine Sicherheitsanmeldedaten. Weitere Informationen zum Hinzufügen von Benutzern finden Sie unter Erstellen eines IAM Benutzers AWS-Konto in Ihrem IAM Benutzerhandbuch.

      • Gewähren Sie Administratorrechte, AccountAadminindem Sie eine Benutzerrichtlinie anhängen, die vollen Zugriff gewährt. Anweisungen finden Sie im IAMBenutzerhandbuch unter IAMRichtlinien verwalten.

      • Notieren Sie sich im IAM Konsolen-Dashboard die IAMBenutzeranmeldung URL. Benutzer in diesem Konto müssen dies URL bei der Anmeldung bei der AWS Management Console verwenden. Weitere Informationen finden Sie unter AWS Management Console Als IAM Benutzer anmelden im IAMBenutzerhandbuch.

    3. Wiederholen Sie den obigen Schritt, um Administrator-Benutzer in Konto B und Konto C zu erstellen.

  2. Notieren Sie sich für Konto C die kanonische Benutzer-ID.

    Wenn Sie eine IAM Rolle in Konto A erstellen, erteilt die Vertrauensrichtlinie Konto C die Erlaubnis, die Rolle anzunehmen, indem die Konto-ID angegeben wird. Sie finden die Konteninformationen wie folgt:

    1. Verwenden Sie Ihre AWS-Konto ID oder Ihren Kontoalias, Ihren IAM Benutzernamen und Ihr Passwort, um sich bei der Amazon S3 S3-Konsole anzumelden.

    2. Wählen Sie den Namen eines Amazon-S3-Buckets aus, um die Details zu diesem Bucket anzuzeigen.

    3. Klicken Sie auf den Tab Berechtigungen und anschließend auf Access Control List.

    4. Im Abschnitt Access for your AWS-Konto(Zugriff für Ihr AWS-Konto) in der Spalte Konto befindet sich eine lange Kennung, z. B. c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6. Dies ist Ihre kanonische Benutzer-ID.

  3. Für das Erstellen einer Bucket-Richtlinie benötigen Sie die folgenden Informationen. Notieren Sie sich diese Werte:

    • Kanonische Benutzer-ID von Konto A – Wenn der Administrator von Konto A dem Administrator von Konto B die bedingte Berechtigung erteilt, Objekte hochzuladen, gibt die Bedingung die kanonische Benutzer-ID des Benutzers von Konto A an, der vollständige Kontrolle über die Objekte benötigt.

      Anmerkung

      Die kanonische Benutzer-ID ist ein nur für Amazon S3 geltendes Konzept. Es handelt sich dabei um eine 64 Zeichen lange verschleierte Version der Konto-ID.

    • Benutzer ARN für Konto B-Administrator — Sie finden den Benutzer ARN in der IAMKonsole. Sie müssen den Benutzer auswählen und den Benutzer auf der Registerkarte „Übersicht“ suchen. ARN

      In der Bucket-Richtlinie erteilen Sie die AccountBadmin Berechtigung zum Hochladen von Objekten und geben den Benutzer an, der den ARN verwendet. Hier ist ein ARN Beispielwert:

      arn:aws:iam::AccountB-ID:user/AccountBadmin

  4. Richten Sie entweder das AWS Command Line Interface (CLI) oder das ein AWS Tools for Windows PowerShell. Stellen Sie sicher, dass Sie die Administrator-Benutzeranmeldedaten wie folgt speichern:

    • Wenn Sie das verwenden AWS CLI, erstellen Sie die Profile AccountAadmin und AccountBadmin in der Konfigurationsdatei.

    • Wenn Sie die verwenden AWS Tools for Windows PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als AccountAadmin und speichernAccountBadmin.

    Detaillierte Anweisungen finden Sie unter Einrichtung der Tools für die exemplarischen Vorgehensweisen.

Schritt 1: Erledigen der Aufgaben von Konto A

In diesem Beispiel ist Konto A der Bucket-Eigentümer. Der Benutzer AccountAadmin in Konto A wird also Folgendes tun:

  • Erstellen Sie einen Bucket.

  • Hängen Sie eine Bucket-Richtlinie an, die dem Konto B Administratorrechte zum Hochladen von Objekten gewährt.

  • Erstellen Sie eine IAM Rolle, die Konto C die Berechtigung erteilt, die Rolle zu übernehmen, sodass es auf Objekte im Bucket zugreifen kann.

Schritt 1.1: Melden Sie sich an bei AWS Management Console

Melden Sie sich mit der IAM Benutzeranmeldung URL für Konto A zunächst AWS Management Console als AccountAadmin Benutzer an. Dieser Benutzer erstellt einen Bucket und ordnet ihm eine Richtlinie zu.

Schritt 1.2: Erstellen eines Buckets und Anfügen einer Richtlinie

Führen Sie in der Amazon-S3-Konsole die folgenden Schritte aus:

  1. Erstellen Sie einen Bucket. Diese Übung setzt voraus, dass der Bucket-Name amzn-s3-demo-bucket1 ist.

    Detaillierte Anweisungen finden Sie unter Erstellen eines Buckets.

  2. Fügen Sie die folgende Bucket-Richtlinie bei. Die Richtlinie gewährt dem Administrator für Konto B bedingte Berechtigungen zum Hochladen von Objekten.

    Aktualisieren Sie die Richtlinie, indem Sie Ihre eigenen Werte für amzn-s3-demo-bucket1AccountB-ID, und die angebenCanonicalUserId-of-AWSaccountA-BucketOwner. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "111",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AccountB-ID:user/AccountBadmin"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
        },
        {
            "Sid": "112",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::AccountB-ID:user/AccountBadmin"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-grant-full-control": "id=CanonicalUserId-of-AWSaccountA-BucketOwner"
                }
            }
        }
    ]
}

Schritt 1.3: Erstellen Sie eine IAM Rolle, um Konto C den kontoübergreifenden Zugriff auf Konto A zu ermöglichen

Erstellen Sie in der IAMKonsole eine IAM Rolle (examplerole), die Konto C die Erlaubnis erteilt, die Rolle zu übernehmen. Stellen Sie sicher, dass Sie immer noch als Administrator für Konto A angemeldet sind, da die Rolle in Konto A erstellt werden muss.

  1. Bevor Sie die Rolle erstellen, richten Sie die verwaltete Richtlinie ein, die die von der Rolle benötigten Berechtigungen definiert. Diese Richtlinie fügen Sie zu einem späteren Zeitpunkt der Rolle an.

    1. Wählen Sie im Navigationsbereich auf der linken Seite Richtlinien und dann Richtlinie erstellen aus.

    2. Klicken Sie neben Create Your Own Policy auf Select.

    3. Geben Sie access-accountA-bucket in das Feld Policy Name ein.

    4. Kopieren Sie die folgende Zugriffsrichtlinie und fügen Sie sie in das Feld Policy Document ein. Die Zugriffsrichtlinie gewährt der Rolle die s3:GetObject Berechtigung, sodass der Benutzer des Kontos C, wenn er die Rolle annimmt, nur den s3:GetObject Vorgang ausführen kann.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
    }
  ]
}

    5. Wählen Sie Create Policy (Richtlinie erstellen) aus.

      Die neue Richtlinie wird in der Liste der verwalteten Richtlinien angezeigt.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Rollen und dann Neue Rolle erstellen aus.

  3. Wählen Sie unter Rollentyp auswählen die Option Rolle für kontoübergreifenden Zugriff aus und klicken AWS-Konten Sie dann auf die Schaltfläche Auswählen neben Eigenzugriff bereitstellen.

  4. Geben Sie die Konto-ID von Konto C ein.

    Für diese exemplarische Vorgehensweise müssen Sie nicht verlangen, dass Benutzer über eine Multi-Faktor-Authentifizierung (MFA) verfügen, um die Rolle übernehmen zu können. Wählen Sie diese Option also nicht aus.

  5. Klicken Sie auf Next Step, um die mit der Rolle verknüpften Berechtigungen einzurichten.

  6. Aktivieren Sie das Kontrollkästchen neben der Access-Account-A-Bucket-Richtlinie, die Sie erstellt haben, und wählen Sie dann Next Step aus.

    Die Prüfseite wird angezeigt, sodass Sie die Einstellungen bestätigen können, bevor Sie die Rolle erstellen. Ein sehr wichtiges, auf dieser Seite zu beachtendes Element ist der Link, den Sie an die Benutzer senden können, die die Rolle verwenden müssen. Benutzer, die den Link verwenden, gelangen direkt zur Seite „Rolle wechseln“, auf der die Felder Konto-ID und Rollenname bereits ausgefüllt sind. Dieser Link wird auch auf der Seite Role Summary für beliebige kontoübergreifende Rollen angezeigt.

  7. Geben Sie examplerole den Rollennamen ein und wählen Sie dann Next Step.

  8. Nachdem Sie die Rolle überprüft haben, wählen Sie Create Role aus.

    Die Rolle examplerole wird in der Liste der Rollen angezeigt.

  9. Wählen Sie den Rollennamenexamplerole.

  10. Wählen Sie den Tab Trust Relationships.

  11. Wählen Sie Richtliniendokument anzeigen und überprüfen Sie, ob die angezeigte Vertrauensrichtlinie mit der folgenden Richtlinie übereinstimmt.

    Die folgende Vertrauensrichtlinie richtet eine Vertrauensbeziehung zu Konto C ein und gestattet ihm die Aktion sts:AssumeRole. Weitere Informationen finden Sie unter AssumeRolein der AWS Security Token Service APIReferenz.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::AccountC-ID:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  12. Notieren Sie sich den Amazon-Ressourcennamen (ARN) der examplerole Rolle, die Sie erstellt haben.

    Später in den folgenden Schritten fügen Sie eine Benutzerrichtlinie hinzu, die es einem IAM Benutzer ermöglicht, diese Rolle anzunehmen, und Sie identifizieren die Rolle anhand des ARN Werts.

Schritt 2: Erledigen der Aufgaben von Konto B

Der Beispiel-Bucket, der Konto A gehört, benötigt Objekte, die anderen Konten gehören. In diesem Schritt lädt der Administrator von Konto B unter Verwendung der Befehlszeilen-Tools ein Objekt hoch.

  • Laden Sie mithilfe des put-object AWS CLI Befehls ein Objekt in hochamzn-s3-demo-bucket1. 

    aws s3api put-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --body HappyFace.jpg --grant-full-control id="canonicalUserId-ofTheBucketOwner" --profile AccountBadmin

    Beachten Sie Folgendes:

    • Der --Profile Parameter gibt das AccountBadmin Profil an, sodass das Objekt dem Konto B gehört.

    • Der Parameter grant-full-control erteilt dem Bucket-Eigentümer vollständige Berechtigungen für das Objekt, wie für die Bucket-Richtlinie erforderlich.

    • Der Parameter --body identifiziert die hochzuladende Quelldatei. Wenn sich die Datei beispielsweise auf dem Laufwerk C: eines Windows Computer, den Sie angebenc:\HappyFace.jpg.

Schritt 3: Führen Sie die Aufgaben von Konto C aus

In den vorherigen Schritten hat Konto A bereits eine Rolle erstelltexamplerole, die Vertrauen zu Konto C herstellt. Diese Rolle ermöglicht es Benutzern in Konto C, auf Konto A zuzugreifen. In diesem Schritt erstellt der Administrator von Konto C einen Benutzer (Dave) und delegiert ihm die von Konto A erhaltenen sts:AssumeRole Berechtigungen. Dieser Ansatz ermöglicht es Dave, das Konto A zu übernehmen examplerole und vorübergehend Zugriff auf Konto A zu erhalten. Die Zugriffsrichtlinie, die Konto A der Rolle beigefügt hat, schränkt ein, was Dave tun kann, wenn er auf Konto A zugreift, insbesondere Objekte inamzn-s3-demo-bucket1.

Schritt 3.1: Erstellen Sie einen Benutzer in Konto C und delegieren Sie die Zugriffsrechte examplerole

  1. Melden Sie sich mit der IAM Benutzeranmeldung URL für Konto C zunächst AWS Management Console als AccountCadmin Benutzer an.

  2. Erstellen Sie in der IAMKonsole einen Benutzer, Dave.

    step-by-stepAnweisungen finden Sie im Benutzerhandbuch unter IAMBenutzer erstellen (AWS Management Console). IAM

  3. Notieren Sie sich die Dave-Anmeldeinformationen. Dave benötigt diese Anmeldeinformationen, um die Rolle examplerole zu übernehmen.

  4. Erstellen Sie eine Inline-Richtlinie für den IAM Dave-Benutzer, um Dave die sts:AssumeRole Berechtigung für die examplerole Rolle in Konto A zu delegieren.

    1. Wählen Sie im Navigationsbereich auf der linken Seite Users (Benutzer).

    2. Wählen Sie den Benutzernamen Dave.

    3. Wählen Sie auf der Seite mit den Benutzerinformationen den Tab Permissions aus und erweitern Sie den Abschnitt Inline Policies.

    4. Wählen Sie hier klicken (oder Create User Policy).

    5. Wählen Sie Custom Policy und dann Select aus.

    6. Geben Sie einen Namen für die Richtlinie in das Feld Policy Name ein.

    7. Kopieren Sie die folgende Richtlinie in das Feld Policy Document:.

      Sie müssen die Richtlinie aktualisieren, indem Sie die angebenAccountA-ID.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["sts:AssumeRole"],
      "Resource": "arn:aws:iam::AccountA-ID:role/examplerole"
    }
  ]
}

    8. Klicken Sie auf Apply Policy (Richtlinie anwenden).

  5. Speichern Sie Daves Anmeldeinformationen in der Konfigurationsdatei von, AWS CLI indem Sie ein weiteres Profil hinzufügen,AccountCDave.

    [profile AccountCDave]
aws_access_key_id = UserDaveAccessKeyID
aws_secret_access_key = UserDaveSecretAccessKey
region = us-west-2

Schritt 3.2: Rolle übernehmen (examplerole) und auf Objekte zugreifen

Jetzt kann Dave auf Objekte in dem Bucket zugreifen, der Konto A gehört, nämlich wie folgt:

  • Dave übernimmt zuerst die examplerole unter Verwendung seiner eigenen Anmeldeinformationen. Damit werden temporäre Anmeldeinformationen zurückgegeben.

  • Unter Verwendung der temporären Anmeldeinformationen greift Dave dann auf die Objekte im Bucket von Konto A zu.

  1. Führen Sie in der Befehlszeile den folgenden AWS CLI assume-role Befehl unter Verwendung des AccountCDave Profils aus.

    Sie müssen den ARN Wert im Befehl aktualisieren, indem Sie angebenAccountA-ID, wo definiert examplerole ist.

    aws sts assume-role --role-arn arn:aws:iam::AccountA-ID:role/examplerole --profile AccountCDave --role-session-name test

    Als Antwort gibt AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldedaten zurück (Zugriffsschlüssel-ID, geheimer Zugriffsschlüssel und ein Sitzungstoken).

  2. Speichern Sie die temporären Sicherheitsanmeldedaten in der AWS CLI Konfigurationsdatei unter dem TempCred Profil.

    [profile TempCred]
aws_access_key_id = temp-access-key-ID
aws_secret_access_key = temp-secret-access-key
aws_session_token = session-token
region = us-west-2

  3. Führen Sie in der Befehlszeile den folgenden AWS CLI Befehl aus, um mithilfe der temporären Anmeldeinformationen auf Objekte zuzugreifen. Der Befehl gibt beispielsweise das Head-Objekt an, API um Objektmetadaten für das HappyFace.jpg Objekt abzurufen.

    aws s3api get-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg SaveFileAs.jpg --profile TempCred

    Die examplerole zugeordnete Zugriffsrichtlinie erlaubt die Aktionen, deshalb verarbeitet Amazon S3 die Anforderung. Sie können das mit jeder anderen Aktion für jedes andere Objekt im Bucket ausprobieren.

    Wenn Sie beispielsweise eine andere Aktion ausprobieren, wird get-object-acl Ihnen die Berechtigung verweigert, weil die Rolle diese Aktion nicht erlaubt.

    aws s3api get-object-acl --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --profile TempCred

    Wir haben den Benutzer Dave verwendet, um die Rolle zu übernehmen und unter Verwendung temporärer Anmeldeinformationen auf das Objekt zuzugreifen. Es könnte auch eine Anwendung in Konto C sein, die auf Objekte in amzn-s3-demo-bucket1 zugreift. Die Anwendung kann temporäre Anmeldeinformationen erhalten, und Konto C kann die Berechtigung der Anwendung delegieren, um examplerole zu übernehmen.

Schritt 4: Bereinigen

  1. Wenn Sie mit dem Testen fertig sind, können Sie wie folgt aufräumen:

    1. Melden Sie sich mit den Anmeldeinformationen von Konto A an der AWS Management Console an und machen Sie Folgendes:

  2. Melden Sie sich mit den Anmeldeinformationen für Konto B bei der IAMKonsole an. Löschen Sie den Benutzer AccountBadmin.

  3. Melden Sie sich mit den Anmeldeinformationen von Konto C bei der IAMKonsole an. Delete AccountCadminund der Benutzer Dave.

Zugehörige Ressourcen

Weitere Informationen zu dieser exemplarischen Vorgehensweise finden Sie in den folgenden Ressourcen im IAMBenutzerhandbuch: