Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erteilen von Berechtigungen zum Erstellen von temporären Sicherheitsanmeldeinformationen
Standardmäßig haben IAM-Benutzer keine Berechtigung zum Erstellen temporärer Sicherheitsanmeldeinformationen für Verbundbenutzer und Rollen. Sie müssen eine Richtlinie verwenden, um Ihren Benutzern diese Berechtigungen zu gewähren. Obwohl Sie einem Benutzer Berechtigungen direkt erteilten können, empfehlen wir dringend, die Berechtigungen einer Gruppe zu erteilen. Dadurch ist die Verwaltung der Berechtigungen wesentlich einfacher. Wenn ein Benutzer nicht mehr die berechtigten Aufgaben ausführen muss, entfernen Sie ihn einfach aus der Gruppe. Wenn diese Aufgabe von einem anderen Benutzer auszuführen ist, fügen Sie ihn der Gruppe hinzu, um die Berechtigungen zu erteilen.
Um einer IAM-Gruppe Berechtigung zum Erstellen von temporären Sicherheitsanmeldeinformationen für Verbundbenutzer oder Rollen zu erteilen, fügen Sie eine Richtlinie an, die eine oder beide der folgenden Berechtigungen gewährt:
-
Um den Verbundbenutzern den Zugriff auf eine IAM-Rolle zu ermöglichen, erteilen Sie die Zugriffsberechtigung auf AWS STS
AssumeRole
. -
Gewähren Sie Verbundbenutzern, die keine Rolle benötigen, Zugriff auf. AWS STS
GetFederationToken
Weitere Informationen zu den Unterschieden zwischen den API-Operationen AssumeRole
und GetFederationToken
finden Sie unter Temporäre Sicherheitsnachweise anfordern.
IAM-Benutzer können auch GetSessionToken
aufrufen, um temporäre Sicherheitsanmeldeinformationen zu erstellen. Für den Aufruf von GetSessionToken
benötigt ein Benutzer keine Berechtigungen. Der Zweck dieser Operation besteht darin, den Benutzer mithilfe von MFA zu authentifizieren. Die Authentifizierung kann nicht über Richtlinien gesteuert werden. Dies bedeutet, dass Sie IAM-Benutzer nicht daran hindern können, zum Erstellen von temporären Anmeldeinformationen GetSessionToken
aufzurufen.
Beispiel für eine Richtlinie, die die Erlaubnis zur Übernahme einer Rolle erteilt
Die folgende Beispielrichtlinie gewährt die Erlaubnis, die UpdateApp
Rolle in AWS-Konto 123123123123
aufzurufenAssumeRole
. Wenn AssumeRole
verwendet wird, kann der Benutzer (oder die Anwendung), der die Sicherheitsanmeldeinformationen im Namen eines Verbundbenutzers erstellt, nur die explizit in der Berechtigungsrichtlinie der Rolle angegebenen Berechtigungen delegieren.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::123123123123:role/UpdateAPP" }] }
Beispielrichtlinie, die die Erlaubnis zum Erstellen temporärer Sicherheitsnachweise für einen Verbundbenutzer erteilt
Die folgende Beispielrichtlinie zeigt, wie Sie die Zugriffsberechtigung für GetFederationToken
erteilen.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "sts:GetFederationToken", "Resource": "*" }] }
Wichtig
Wenn Sie IAM-Benutzern die Berechtigung zum Erstellen von temporären Sicherheitsanmeldeinformationen für Verbundbenutzer mit GetFederationToken
erteilen, sollten Sie sich darüber im Klaren sein, dass hiermit diesen Benutzern die Delegierung ihrer eigenen Berechtigungen ermöglicht wird. Weitere Informationen zum Delegieren von Berechtigungen zwischen IAM-Benutzern und finden Sie AWS-Konten unter. Beispiele für Richtlinien zum Delegieren des Zugriffs Weitere Informationen zum Steuern von Berechtigungen in temporären Sicherheitsanmeldeinformationen finden Sie unter Berechtigungen für temporäre Sicherheitsanmeldedaten.
Beispielrichtlinie, die einem Benutzer die eingeschränkte Berechtigung erteilt, temporäre Sicherheitsnachweise für Benutzer im Verbund zu erstellen
Wenn Sie einem IAM-Benutzer ermöglichen, GetFederationToken
aufzurufen, ist es eine bewährte Methode, die Berechtigungen einzuschränken, die der IAM-Benutzer delegieren kann. Folgende Richtlinie zeigt beispielsweise, wie einem IAM-Benutzer ermöglicht wird, temporäre Sicherheitsanmeldeinformationen nur für Verbundbenutzer zu erstellen, deren Namen mit Manager beginnt.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "sts:GetFederationToken", "Resource": ["arn:aws:sts::123456789012:federated-user/Manager*"] }] }