Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer

Fokusmodus
Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer - AWS Identity and Access Management

Sie können IAM-Rollen zum Delegieren des Zugriffs auf Ihre AWS-Ressourcen verwenden. Mit IAM-Rollen können Sie Vertrauensstellungen zwischen Ihrem vertrauenden Konto und anderen vertrauenden AWS-Konten festlegen. Das vertrauende Konto besitzt die Ressource, auf die zugegriffen werden soll, und das vertrauenswürdige Konto enthält die Benutzer, die Zugriff auf die Ressource erhalten müssen. Es ist jedoch möglich, dass ein anderes Konto eine Ressource in Ihrem Konto besitzt. Beispielsweise kann das Vertrauenskonto dem vertrauenswürdigen Konto erlauben, neue Ressourcen zu erstellen, z. B. neue Objekte in einem Amazon-S3-Bucket. In diesem Fall besitzt das Konto, das die Ressource erstellt, die Ressource und steuert, wer auf sie zugreifen kann.

Nach dem Erstellen der Vertrauensbeziehung kann ein IAM-Benutzer oder eine Anwendung des vertrauenswürdigen Kontos die AWS Security Token Service (AWS STS) AssumeRole API-Operation verwenden. Diese Operation bietet temporäre Sicherheitsanmeldeinformationen, mit denen der Zugriff auf AWS-Ressourcen in Ihrem Konto gewährt wird.

Sie können die beiden Konten steuern oder das Konto mit den Benutzern kann von einem Drittanbieter gesteuert werden. Wenn das andere Konto mit den Benutzern ein nicht von Ihnen gesteuertes AWS-Konto ist, können Sie das Attribut externalId verwenden. Die externe ID kann ein beliebiges Wort oder eine beliebige Zahl sein, das bzw. die zwischen Ihnen und dem Administrator des Drittanbieter-Kontos vereinbart wurde. Durch diese Option wird der Vertrauensrichtlinie automatisch eine Bedingung hinzugefügt, mit der der Benutzer die Rolle nur dann übernehmen kann, wenn die Anforderung die richtige sts:ExternalID enthält. Weitere Informationen finden Sie unter Zugriffs auf im Besitz von Drittanbietern befindlichen AWS-Konten.

Weitere Informationen zur Verwendung von Rollen zum Delegieren von Berechtigungen finden Sie unter Rollenbegriffe und -konzepte. Informationen zur Verwendung einer Servicerolle zum Erlauben des Zugriffs auf Ressourcen in Ihrem Konto durch Services finden Sie unter Rolle zum Delegieren von Berechtigungen an einen AWS-Service erstellen.

Erstellen einer IAM-Rolle (Konsole)

Sie können die AWS Management Console zum Erstellen einer Rolle verwenden, die ein IAM-Benutzer übernehmen kann. Angenommen, Ihre Organisation verfügt über mehrere AWS-Konten, um die Entwicklungsumgebung von der Produktionsumgebung zu trennen. Allgemeine Informationen zum Erstellen einer Rolle, mit der Benutzer im Entwicklungskonto auf Ressourcen in der Produktionsumgebung zugreifen können, finden Sie unter Beispielszenario mit getrennten Entwicklungs- und Produktionskonten.

Mindestberechtigungen

Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich:

  • access-analyzer:ValidatePolicy

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:GetAccountSummary

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:ListAccountAliases

  • iam:ListAttachedRolePolicies

  • iam:ListOpenIDConnectProviders

  • iam:ListPolicies

  • iam:ListRolePolicies

  • iam:ListRoles

  • iam:ListRoleTags

  • iam:ListSAMLProviders

So erstellen Sie eine Rolle (Konsole)
  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich der Konsole auf Roles (Rollen) und wählen Sie dann Create role (Rolle erstellen).

  3. Wählen Sie den Rollentyp AWS-Konto.

  4. Um eine Rolle für Ihr Konto zu erstellen, wählen Sie This account (Dieses Konto) aus. Um eine Rolle für ein anderes Konto zu erstellen, wählen Sie Anderes AWS-Konto und geben Sie die Konto-ID ein, der Sie Zugriff auf Ihre Ressourcen gewähren möchten.

    Der Administrator des angegebenen Kontos kann die Berechtigung erteilen, diese Rolle für alle IAM-Benutzer in diesem Konto zu übernehmen. Hierzu fügt der Administrator eine Richtlinie an den Benutzer oder eine Gruppe an, mit der die Berechtigung für die Aktion sts:AssumeRole gewährt wird. Diese Richtlinie muss den ARN der Rolle als Resource angeben.

  5. Wenn Sie Benutzern Berechtigungen von einem Konto gewähren, das Sie nicht kontrollieren, und die Benutzer diese Rolle programmgesteuert übernehmen, wählen Sie Require external ID (Externe ID fordern). Die externe ID kann ein beliebiges Wort oder eine beliebige Zahl sein, das bzw. die zwischen Ihnen und dem Administrator des Drittanbieter-Kontos vereinbart wurde. Durch diese Option wird der Vertrauensrichtlinie automatisch eine Bedingung hinzugefügt, mit der der Benutzer die Rolle nur dann übernehmen kann, wenn die Anforderung die richtige sts:ExternalID enthält. Weitere Informationen finden Sie unter Zugriffs auf im Besitz von Drittanbietern befindlichen AWS-Konten.

    Wichtig

    Durch Auswählen dieser Option wird der Zugriff auf die Rolle auf die AWS CLI, Tools for Windows PowerShell, und die AWS-API beschränkt. Dies liegt daran, weil Sie nicht die AWS-Konsole verwenden können, um zu einer Rolle mit einer externalId-Bedingung in ihrer Vertrauensrichtlinie zu wechseln. Sie können jedoch diese Art des Zugriffs programmgesteuert erstellen, indem Sie mithilfe des relevanten SDK ein Skript oder eine Anwendung schreiben. Weitere Informationen hierzu und ein Beispielskript finden Sie unter How to Enable Cross-Account Access to the AWS Management Console im Blog zur AWS-Sicherheit.

  6. Wenn Sie die Rolle auf Benutzer beschränken möchten, die sich über Multifaktor-Authentifizierung (MFA) anmelden, wählen Sie Require MFA (MFA erforderlich). Dadurch wird eine Bedingung zur Vertrauensrichtlinie der Rolle hinzugefügt, mit der geprüft wird, ob eine MFA-Anmeldung vorliegt. Ein Benutzer, der die Rolle übernehmen möchte, muss sich über ein konfiguriertes MFA-Gerät mit einem temporären einmaligen Passwort anmelden. Benutzer ohne MFA-Authentifizierung können die Rolle nicht übernehmen. Weitere Informationen zu MFA finden Sie unter AWS-Multi-Faktor-Authentifizierung in IAM.

  7. Wählen Sie Weiter.

  8. IAM enthält eine Liste der von AWS verwalteten und vom Kunden verwaltete Richtlinien in Ihrem Konto. Wählen Sie die Richtlinie aus, die für die Berechtigungsrichtlinie verwendet werden soll, oder wählen Create policy (Richtlinie erstellen), um eine neue Registerkarte im Browser zu öffnen und eine vollständig neue Richtlinie zu erstellen. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien. Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück. Aktivieren Sie das Kontrollkästchen neben den Berechtigungsrichtlinien, über die jeder, der die Rolle übernimmt, verfügen soll. Wenn Sie es vorziehen, zu diesem Zeitpunkt keine Richtlinien auszuwählen, können Sie sie der Rolle später hinzufügen. Standardmäßig hat eine Rolle keine Berechtigungen.

  9. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist ein erweitertes Feature.

    Öffnen Sie den Abschnitt Set permissions boundary (Berechtigungsgrenze festlegen) und wählen Sie Use a permissions boundary to control the maximum role permissions (Eine Berechtigungsgrenze verwenden, um die maximalen Rollenberechtigungen zu steuern). Wählen Sie die Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll.

  10. Wählen Sie Weiter.

  11. Geben Sie unter Role name (Rollenname) einen Namen für Ihre Rolle ein. Rollennamen müssen innerhalb Ihres AWS-Konto-Kontos eindeutig sein. Wenn ein Rollenname in einer Richtlinie oder als Teil eines ARN verwendet wird, muss die Groß-/Kleinschreibung des Rollennamens beachtet werden. Wenn Kunden in der Konsole ein Rollenname angezeigt wird, beispielsweise während des Anmeldevorgangs, wird die Groß-/Kleinschreibung des Rollennamens nicht beachtet. Da verschiedene Entitäten möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nach der Erstellung nicht mehr bearbeiten.

  12. (Optional) Geben Sie im Feld Description (Beschreibung) eine Beschreibung für die neue Rolle ein.

  13. Wählen Sie in den Abschnitten Step 1: Select trusted entities (Schritt 1: Vertrauenswürdige Entitäten auswählen) oder Step 2: Add permissions (Schritt 2: Berechtigungen hinzufügen) die Option Edit (Bearbeiten) aus, um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten. Sie werden zu den vorherigen Seiten zurückgeleitet, um die Änderungen vorzunehmen.

  14. (Optional) Fügen Sie der Rolle Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Tags für AWS Identity and Access Management-Ressourcen.

  15. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

    Wichtig

    Dies ist allerdings nur der erste Teil der erforderlichen Konfiguration. Sie müssen auch einzelnen Benutzern in den vertrauenswürdigen Konten die Berechtigung geben, in die Rolle in der Konsole zu wechseln oder die Rolle programmgesteuert zu übernehmen. Weitere Informationen zu diesem Schritt finden Sie unter Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel.

Erstellen einer IAM-Rolle (AWS CLI)

Das Erstellen einer Rolle über die AWS CLI umfasst mehrere Schritte. Wenn Sie eine Rolle mithilfe der Konsole erstellen, werden viele Schritte automatisch abgeschlossen. In AWS CLI müssen Sie diese Schritte jedoch manuell ausführen. Sie müssen die Rolle erstellen und ihr dann eine Berechtigungsrichtlinie zuweisen. Optional können Sie auch die Berechtigungsgrenze für Ihre Rolle festlegen.

So erstellen Sie eine Rolle für kontoübergreifenden Zugriff (AWS CLI)
  1. Erstellen Sie eine Rolle: aws iam create-role

  2. Fügen Sie eine verwaltete Berechtigungsrichtlinie zur Rolle hinzu: aws iam attach-role-policy

    or

    Erstellen Sie eine eingebundene Berechtigungsrichtlinie für die Rolle: aws iam put-role-policy

  3. (Optional) Fügen Sie der Rolle benutzerdefinierte Attribute durch Zuweisen von Tags hinzu: aws iam tag-role

    Weitere Informationen finden Sie unter Verwalten von Tags auf IAM-Rollen (AWS CLI- oder AWS-API).

  4. (Optional) Legen Sie die Berechtigungsgrenze für die Rolle fest: aws iam put-role-permissions-boundary

    Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die eine Rolle haben kann. Berechtigungsgrenzen sind eine erweiterte AWS-Feature.

Das folgende Beispiel zeigt die ersten beiden und häufigsten Schritte zum Anlegen einer kontenübergreifenden Rolle in einer einfachen Umgebung. Dieses Beispiel erlaubt jedem Benutzer im 123456789012-Konto, die Rolle zu übernehmen und den example_bucket-Amazon S3 Bucket anzuzeigen. In diesem Beispiel wird auch davon ausgegangen, dass Sie einen Client-Computer mit Windows verwenden und bereits die Befehlszeilenschnittstelle mit Ihren Konto-Anmeldeinformationen und der Region konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren der AWS-Befehlszeilenschnittstelle.

In diesem Beispiel nehmen Sie die folgende Vertrauensrichtlinie in den ersten Befehl auf, wenn Sie die Rolle erstellen. Diese Vertrauensrichtlinie gestattet Benutzern im 123456789012-Konto, die Rolle unter Verwendung der AssumeRole-Operation anzunehmen, aber nur, wenn der Benutzer über die Parameter SerialNumber und TokenCode eine MFA-Authentifizierung bereitstellt. Weitere Informationen zu MFA finden Sie unter AWS-Multi-Faktor-Authentifizierung in IAM.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole", "Condition": { "Bool": { "aws:MultiFactorAuthPresent": "true" } } } ] }
Wichtig

Wenn Ihr Principal-Element einen ARN für eine bestimmte IAM-Rolle oder einen bestimmten IAM-Benutzer enthält, wird dieser ARN beim Speichern der Richtlinie in eine eindeutige Auftraggeber-ID umgewandelt wird. Auf diese Weise wird das Risiko reduziert, dass jemand seine Berechtigungen durch Entfernen und Neuerstellen der Rolle oder des Benutzers erweitert. Normalerweise wird diese ID nicht in der Konsole angezeigt, da bei der Anzeige der Vertrauensrichtlinie auch eine Rückumwandlung zum ARN erfolgt. Wenn Sie jedoch die Rolle oder den Benutzer löschen, erscheint die Auftraggeber-ID in der Konsole, da AWS sie nicht mehr auf einen ARN abbilden kann. Wenn Sie also einen Benutzer oder eine Rolle löschen und neu erstellen, auf die beide im Principal-Element einer Vertrauensrichtlinie verwiesen wird, müssen Sie die Rolle bearbeiten, um den ARN zu ersetzen.

Wenn Sie den zweiten Befehl verwenden, müssen Sie der Rolle eine vorhandene verwaltete Richtlinie hinzufügen. Die folgende Berechtigungsrichtlinie erlaubt jedem, der die Rolle übernimmt, nur die Aktion ListBucket auf dem example_bucket-Amazon S3-Bucket durchzuführen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::example_bucket" } ] }

Um diese Test-UserAccess-Role-Rolle zu erstellen, müssen Sie zunächst die vorherige Vertrauensrichtlinie mit den Namen trustpolicyforacct123456789012.json im policies-Ordner in Ihrem lokalen C:-Laufwerk speichern. Speichern Sie dann die vorherige Berechtigungsrichtlinie als vom Kunden verwaltete Richtlinie in Ihrem AWS-Konto mit dem Namen PolicyForRole. Sie können dann die folgenden Befehle verwenden, um die Rolle zu erstellen und die verwaltete Richtlinie hinzuzufügen.

# Create the role and attach the trust policy file that allows users in the specified account to assume the role. $ aws iam create-role --role-name Test-UserAccess-Role --assume-role-policy-document file://C:\policies\trustpolicyforacct123456789012.json # Attach the permissions policy (in this example a managed policy) to the role to specify what it is allowed to do. $ aws iam attach-role-policy --role-name Test-UserAccess-Role --policy-arn arn:aws:iam::123456789012:policy/PolicyForRole
Wichtig

Dies ist allerdings nur der erste Teil der erforderlichen Konfiguration. Sie müssen auch einzelnen Benutzern im vertrauenswürdigen Konto Berechtigungen zum Wechseln der Rolle erteilen. Weitere Informationen zu diesem Schritt finden Sie unter Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel.

Nachdem Sie die Rolle erstellt und ihr Berechtigungen zum Durchführen von AWS-Aufgaben oder Zugreifen auf AWS-Ressourcen gewährt haben, können alle Benutzer im 123456789012-Konto die Rolle übernehmen. Weitere Informationen finden Sie unter Zu einer IAM-Rolle wechseln (AWS CLI).

Erstellen einer IAM-Rolle (AWS-API)

Das Erstellen einer Rolle über die AWS-API umfasst mehrere Schritte. Wenn Sie eine Rolle mithilfe der Konsole erstellen, werden viele Schritte automatisch abgeschlossen. In API müssen Sie diese Schritte jedoch manuell ausführen. Sie müssen die Rolle erstellen und ihr dann eine Berechtigungsrichtlinie zuweisen. Optional können Sie auch die Berechtigungsgrenze für Ihre Rolle festlegen.

So erstellen Sie eine Rolle mit codegesteuert (AWS-API)
  1. Erstellen Sie eine Rolle: CreateRole

    Für die Vertrauensrichtlinie der Rolle können Sie einen Dateispeicherort angeben.

  2. Fügen Sie eine verwaltete Berechtigungsrichtlinie zur Rolle hinzu: AttachRolePolicy

    or

    Erstellen Sie eine eingebundene Berechtigungsrichtlinie für die Rolle: PutRolePolicy

    Wichtig

    Dies ist allerdings nur der erste Teil der erforderlichen Konfiguration. Sie müssen auch einzelnen Benutzern im vertrauenswürdigen Konto Berechtigungen zum Wechseln der Rolle erteilen. Weitere Informationen zu diesem Schritt finden Sie unter Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel.

  3. (Optional) Fügen Sie dem Benutzer benutzerdefinierte Attribute durch Zuweisen von Tags hinzu: TagRole

    Weitere Informationen finden Sie unter Verwalten von Tags auf IAM-Benutzer (AWS CLI- oder AWS-API).

  4. (Optional) Legen Sie die Berechtigungsgrenze für die Rolle fest: PutRolePermissionsBoundary

    Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die eine Rolle haben kann. Berechtigungsgrenzen sind eine erweiterte AWS-Feature.

Nachdem Sie die Rolle erstellt und ihr die Berechtigungen zum Ausführen von AWS-Aufgaben oder zum Zugriff auf AWS-Ressourcen erteilt haben, müssen Sie den Benutzern im Konto Berechtigungen erteilen, damit sie die Rolle übernehmen können. Weitere Informationen zum Übernehmen einer Rolle finden Sie unter Wechseln zu einer IAM-Rolle (AWS-API).

Erstellen einer IAM-Rolle (AWS CloudFormation)

Weitere Informationen zum Erstellen einer IAM-Rolle in AWS CloudFormation finden Sie im AWS CloudFormation-Leitfaden unter Ressourcen- und Eigenschaftstypen sowie unter Beispiele.

Weitere Informationen zu IAM-Vorlagen in AWS CloudFormation finden Sie im AWS Identity and Access Management-Leitfaden unter AWS CloudFormation-Vorlagenausschnitte.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.