Rollen oder Instanzprofile löschen - AWS Identitäts- und Zugriffsverwaltung
Rollenzugriff anzeigenLöschen einer serviceverknüpften RolleLöschen einer IAM Rolle (Konsole)Eine IAM Rolle löschen (AWS CLI)Eine IAM Rolle löschen (AWS API)Ähnliche Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rollen oder Instanzprofile löschen

Wenn Sie eine Rolle nicht mehr benötigen, empfehlen wir, dass Sie die Rolle und die zugehörigen Berechtigungen löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird.

Wenn die Rolle einer EC2 Instanz zugeordnet war, können Sie die Rolle auch aus dem Instanzprofil entfernen und dann das Instanzprofil löschen.

Warnung

Stellen Sie sicher, dass Sie keine EC2 Amazon-Instances mit der Rolle oder dem Instance-Profil haben, das Sie löschen möchten. Wenn Sie eine Rolle oder ein Instanceprofil löschen, das einer laufenden Instance zugeordnet ist, werden alle Anwendungen unterbrochen, die auf der Instance ausgeführt werden.

Wenn Sie eine Rolle nicht dauerhaft löschen möchten, können Sie sie deaktivieren. Ändern Sie dazu die Richtlinien der Rolle und widerrufen Sie dann alle aktuellen Sitzungen. Sie könnten beispielsweise der Rolle eine Richtlinie hinzufügen, die allen den Zugriff verweigert AWS. Sie können die Vertrauensrichtlinie auch bearbeiten, um jeder Person, die versucht, die Rolle zu übernehmen, den Zugriff zu verweigern. Weitere Informationen zum Widerrufen von Sitzungen finden Sie unter Temporäre Sicherheitsanmeldedaten für IAM Rollen widerrufen.

Rollenzugriff anzeigen

Bevor Sie eine Rolle löschen, sollten Sie überprüfen, wann die Rolle zuletzt verwendet wurde. Sie können dies mit dem AWS Management Console AWS CLI, dem oder dem tun AWS API. Sie sollten sich diese Informationen ansehen, weil Sie nicht jemandem den Zugriff entziehen wollen, der gerade die Rolle verwendet.

Das Datum der letzten Aktivität der Rolle stimmt möglicherweise nicht mit dem letzten Datum überein, das auf der Registerkarte Letzter Zugriff angegeben wurde. Auf der Registerkarte Letzter Zugriff werden nur Aktivitäten für Dienste gemeldet, die gemäß den Richtlinien für Rollenberechtigungen zulässig sind. Das Datum der letzten Aktivität der Rolle beinhaltet den letzten Versuch, auf einen Dienst zuzugreifen AWS.

Anmerkung

Der Nachverfolgungszeitraum für die letzte Aktivität einer Rolle und die Daten zum letzten Zugriff bezieht sich auf die letzten 400 Tage. Dieser Zeitraum kann kürzer sein, wenn Ihre Region diese Funktionen innerhalb des letzten Jahres zu unterstützen begonnen hat. Die Rolle könnte dann vor mehr als 400 Tagen verwendet worden sein. Weitere Informationen zum Nachverfolgungszeitraum finden Sie unter Wo werden die AWS zuletzt aufgerufenen Informationen aufgezeichnet.

So zeigen Sie an, wann eine Rolle zuletzt verwendet wurde (Konsole):

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Suchen Sie die Zeile der Rolle, deren Aktivität Sie anzeigen möchten. Sie können das Suchfeld verwenden, um die Ergebnisse einzuschränken. Zeigen Sie die Spalte Last activity (Letzte Aktivität) an, um die Anzahl der Tage seit der letzten Verwendung der Rolle anzuzeigen. Wenn die Rolle nicht innerhalb des Verfolgungszeitraums verwendet wurde, wird in der Tabelle None (Keine)angezeigt.

  4. Wählen Sie den Namen der Rolle, um weitere Informationen anzuzeigen. Die Seite Summary (Zusammenfassung) der Rolle enthält auch Last activity (Letzte Aktivität), mit der Anzeige des Datums, an dem die Rolle zuletzt verwendet wurde. Wenn die Rolle innerhalb der letzten 400 Tage nicht verwendet wurde, zeigt Last activity (Letzte Aktivität) Not accessed in the tracking period (Kein Zugriff im nachverfolgungszeitraum) an.

So zeigen Sie an, wann eine Rolle zuletzt verwendet wurde (AWS CLI):

aws iam get-role - Führen Sie diesen Befehl aus, um Informationen über eine Rolle, einschließlich des RoleLastUsed-Objekts, zurückzugeben. Dieses Objekt enthält die LastUsedDate und die Region, in denen die Rolle zuletzt verwendet wurde. Wenn RoleLastUsed vorhanden ist, aber keinen Wert enthält, wurde die Rolle innerhalb des Verfolgungszeitraums nicht verwendet.

Um zu sehen, wann eine Rolle zuletzt verwendet wurde (AWS API)

GetRole - Rufen Sie diesen Vorgang auf, um Informationen über eine Rolle, einschließlich des RoleLastUsed-Objekts, zurückzugeben. Dieses Objekt enthält die LastUsedDate und die Region, in denen die Rolle zuletzt verwendet wurde. Wenn RoleLastUsed vorhanden ist, aber keinen Wert enthält, wurde die Rolle innerhalb des Verfolgungszeitraums nicht verwendet.

Löschen einer serviceverknüpften Rolle

Die Methode, mit der Sie eine mit einem Dienst verknüpfte Rolle löschen, hängt vom Dienst ab. In einigen Fällen müssen Sie die serviceverknüpfte Rolle nicht manuell löschen. Wenn Sie beispielsweise eine bestimmte Aktion (z. B. das Entfernen einer Ressource) im Service durchführen, löscht der Service die serviceverknüpfte Rolle eventuell für Sie. In anderen Fällen unterstützt der Dienst möglicherweise das manuelle Löschen einer mit dem Dienst verknüpften Rolle über die Servicekonsole,API, oder. AWS CLI

Lesen Sie die Dokumentation für die dienstverknüpfte Rolle im verknüpften Dienst, um zu erfahren, wie Sie die Rolle löschen können. Sie können die mit dem Dienst verknüpften Rollen in Ihrem Konto einsehen, indem Sie in der Konsole auf die Seite IAM Rollen gehen. Serviceverknüpfte Rollen werden mit dem Hinweis (Service-linked role) in der Spalte Trusted entities (Vertrauenswürdige Entitäten) der Tabelle angezeigt. Ein Banner auf der Seite Summary (Übersicht) für die Rolle zeigt ebenfalls an, dass es sich um eine serviceverknüpfte Rolle handelt.

Wenn der Dienst keine Dokumentation zum Löschen der dienstbezogenen Rolle enthält, können Sie die IAM Konsole oder verwenden AWS CLI, um die Rolle API zu löschen.

Löschen einer IAM Rolle (Konsole)

Wenn Sie die AWS Management Console zum Löschen einer Rolle verwenden, werden die verwalteten Richtlinien, die mit der Rolle verknüpft sind, IAM automatisch getrennt. Außerdem werden automatisch alle mit der Rolle verknüpften Inline-Richtlinien sowie alle EC2 Amazon-Instance-Profile, die die Rolle enthalten, gelöscht.

Wichtig

In einigen Fällen kann eine Rolle mit einem EC2 Amazon-Instance-Profil verknüpft sein, und die Rolle und das Instance-Profil können denselben Namen haben. In diesem Fall können Sie das verwenden AWS Management Console , um die Rolle und das Instance-Profil zu löschen. Diese Verknüpfung erfolgt automatisch für Rollen und Instance-Profile, die Sie in der Konsole erstellen. Wenn Sie die Rolle aus den AWS CLI Tools für Windows PowerShell oder dem erstellt haben AWS API, haben die Rolle und das Instanzprofil möglicherweise unterschiedliche Namen. In diesem Fall können Sie die Konsole nicht zum Löschen verwenden. Stattdessen müssen Sie zunächst die AWS CLI Tools für Windows oder verwenden PowerShell, AWS API um die Rolle aus dem Instanzprofil zu entfernen. Sie müssen die Rolle dann in einem separaten Schritt löschen.

So löschen Sie eine Rolle (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen), und aktivieren Sie dann das Kontrollkästchen neben der Rolle, die Sie löschen möchten.

  3. Wählen Sie oben auf der Seite Delete role (Rolle löschen).

  4. Überprüfen Sie im Bestätigungsdialogfeld die Informationen, auf die zuletzt zugegriffen wurde. Darin wird angegeben, wann jede der ausgewählten Rollen zuletzt auf einen AWS Dienst zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wenn Sie fortfahren möchten, geben Sie den Namen der Rolle in das Texteingabefeld ein und wählen Sie Löschen. Wenn Sie sich sicher sind, können Sie mit dem Löschen fortfahren, auch wenn die Informationen zum letzten Zugriff noch geladen werden.

Anmerkung

Sie können die Konsole nicht verwenden, um ein Instance-Profil zu löschen, es sei denn, es hat denselben Namen wie die Rolle. Außerdem müssen Sie das Instance-Profil im Rahmen des Vorgangs zum Löschen einer Rolle, wie im zuvor genannten Vorgang beschrieben, löschen. Um ein Instanzprofil zu löschen, ohne gleichzeitig die Rolle zu löschen, müssen Sie das AWS CLI oder verwenden AWS API. Weitere Informationen finden Sie in den folgenden Abschnitten.

Eine IAM Rolle löschen (AWS CLI)

Wenn Sie die verwenden, AWS CLI um eine Rolle zu löschen, müssen Sie zuerst die mit der Rolle verknüpften Inline-Richtlinien löschen. Sie müssen auch die mit der Rolle verknüpften verwalteten Richtlinien trennen. Wenn Sie das verbundene Instance-Profil, das die Rolle enthält, löschen möchten, müssen Sie es separat löschen.

So löschen Sie eine Rolle (AWS CLI)

  1. Wenn Sie den Namen der Rolle, die Sie löschen möchten, nicht kennen, geben Sie den folgenden Befehl ein, um die Rollen in Ihrem Konto aufzulisten:

    aws iam list-roles

    Die Liste enthält den Amazon-Ressourcennamen (ARN) jeder Rolle. Verwenden Sie den Rollennamen, nicht denARN, um mit den CLI Befehlen auf Rollen zu verweisen. Wenn eine Rolle beispielsweise Folgendes hatARN:arn:aws:iam::123456789012:role/myrole, bezeichnen Sie die Rolle alsmyrole.

  2. Entfernen Sie die Rolle aus allen Instance-Profilen, mit denen die Rolle verbunden ist.

    1. Um alle Instance-Profile aufzulisten, denen die Rolle zugeordnet ist, geben Sie den folgenden Befehl ein:

      aws iam list-instance-profiles-for-role --role-name role-name

    2. Um die Rolle aus einem Instance-Profil zu entfernen, geben Sie den folgenden Befehl für jedes Instance-Profil ein:

      aws iam remove-role-from-instance-profile --instance-profile-name instance-profile-name --role-name role-name

  3. Löschen Sie alle Richtlinien, die mit der Rolle verbunden sind.

    1. Um alle Inline-Richtlinien aufzulisten, die in der Rolle vorhanden sind, geben Sie den folgenden Befehl ein:

      aws iam list-role-policies --role-name role-name

    2. Um jede Inline-Richtlinie aus der Rolle zu löschen, geben Sie den folgenden Befehl für jede Richtlinie ein: 

      aws iam delete-role-policy --role-name role-name --policy-name policy-name

    3. Um alle verwalteten Richtlinien aufzulisten, die der Rolle angefügt sind, geben Sie den folgenden Befehl ein:

      aws iam list-attached-role-policies --role-name role-name

    4. Um jede verwaltete Richtlinie von der Rolle zu trennen, geben Sie den folgenden Befehl für jede Richtlinie ein: 

      aws iam detach-role-policy --role-name role-name --policy-arn policy-arn

  4. Geben Sie den folgenden Befehl ein, um die Rolle zu löschen:

    aws iam delete-role --role-name role-name

  5. Wenn Sie nicht vorhaben, die Instance-Profile, die der Rolle zugeordnet waren, wiederzuverwenden, geben Sie den folgenden Befehl ein, um sie zu löschen:

    aws iam delete-instance-profile --instance-profile-name instance-profile-name

Eine IAM Rolle löschen (AWS API)

Wenn Sie die verwenden, IAM API um eine Rolle zu löschen, müssen Sie zuerst die mit der Rolle verknüpften Inline-Richtlinien löschen. Sie müssen auch die mit der Rolle verknüpften verwalteten Richtlinien trennen. Wenn Sie das verbundene Instance-Profil, das die Rolle enthält, löschen möchten, müssen Sie es separat löschen.

So löschen Sie eine Rolle (AWS API)

  1. Rufen Sie an, um alle Instanzprofile aufzulisten, denen eine Rolle zugeordnet ist ListInstanceProfilesForRole.

    Rufen Sie an, um die Rolle aus einem Instanzprofil zu entfernen RemoveRoleFromInstanceProfile. Sie müssen den Rollennamen und den Instance-Profilnamen übergeben.

    Wenn Sie ein Instanzprofil, das mit der Rolle verknüpft war, nicht wiederverwenden möchten, rufen Sie an, DeleteInstanceProfileum es zu löschen.

  2. Rufen Sie an, um alle Inline-Richtlinien für eine Rolle aufzulisten ListRolePolicies.

    Rufen Sie an, um Inline-Richtlinien zu löschen, die der Rolle zugeordnet sind DeleteRolePolicy. Sie müssen den Rollennamen und den Inline-Richtliniennamen übergeben.

  3. Rufen Sie an, um alle verwalteten Richtlinien aufzulisten, die einer Rolle zugeordnet sind ListAttachedRolePolicies.

    Rufen DetachRolePolicySie an, um verwaltete Richtlinien, die der Rolle zugeordnet sind, zu trennen. Sie müssen den Rollennamen und die verwaltete Richtlinie ARN übergeben.

  4. Rufen Sie DeleteRolean, um die Rolle zu löschen.

Allgemeine Informationen zu Instance-Profilen finden Sie unter Instanzprofile verwenden.

Allgemeine Informationen zu serviceverknüpften Rollen finden Sie unter Erstellen einer serviceverknüpften Rolle.