Aktualisierung einer Rollenvertrauensrichtlinie (Konsole)Aktualisierung einer Rollenvertrauensrichtlinie (AWS CLI)Aktualisierung einer Rollenvertrauensrichtlinie (AWS-API)

Rollenvertrauensrichtlinie aktualisieren

Um zu ändern, wer eine Rolle übernehmen kann, müssen Sie die Vertrauensrichtlinie der Rolle bearbeiten. Sie können die Vertrauensrichtlinie für eine serviceverknüpfte Rolle nicht ändern.

Hinweise

Wenn ein Benutzer als Auftraggeber in der Vertrauensrichtlinie einer Rolle aufgeführt ist, aber die Rolle nicht übernehmen kann, überprüfen Sie die Berechtigungsgrenze des Benutzers. Wenn eine Berechtigungsgrenze für den Benutzer festgelegt ist, dann muss sie die sts:AssumeRole-Aktion zulassen.
Damit Benutzer die aktuelle Rolle innerhalb einer Rollensitzung wieder annehmen können, geben Sie den Rollen-ARN oder den AWS-Konto-ARN als Prinzipal in der Rollenvertrauensrichtlinie an. AWS-Services, die Rechenressourcen wie Amazon EC2, Amazon ECS, Amazon EKS und Lambda bereitstellen, stellen temporäre Anmeldeinformationen bereit und aktualisieren diese Anmeldeinformationen automatisch. Dadurch wird sichergestellt, dass Sie immer über gültige Anmeldeinformationen verfügen. Für diese Dienste ist es nicht erforderlich, die aktuelle Rolle erneut anzunehmen, um temporäre Anmeldeinformationen zu erhalten. Wenn Sie jedoch beabsichtigen, Sitzungs-Tags oder eine Sitzungsrichtlinie zu übergeben, müssen Sie die aktuelle Rolle erneut annehmen.

Aktualisierung einer Rollenvertrauensrichtlinie (Konsole)

So ändern Sie die Rollenvertrauensrichtlinie in AWS Management Console

Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich der IAM Console Roles.
Wählen Sie in der Rollenliste in Ihrem Konto den Namen der zu ändernden Rolle.
Wählen Sie die Registerkarte Trust Relationships (Vertrauensstellungen) und dann Edit trust policy (Vertrauensrichtlinie bearbeiten) aus.
Bearbeiten Sie die Vertrauensrichtlinie nach Bedarf. Um weitere Auftraggeber hinzuzufügen, die die Rolle übernehmen können, geben Sie sie im Principal-Element an. Der folgende Richtlinienausschnitt zeigt, wie auf zwei AWS-Konten im Principal-Element verwiesen wird:
```
"Principal": {
  "AWS": [
    "arn:aws:iam::111122223333:root",
    "arn:aws:iam::444455556666:root"
  ]
},
```
Wenn Sie einen Auftraggeber in einem anderen Konto angeben, ist das Hinzufügen eines Kontos zur Vertrauensrichtlinie einer Rolle nur die Hälfte der Einrichtung einer kontoübergreifenden Vertrauensbeziehung. Standardmäßig kann kein Benutzer in den vertrauenswürdigen Konten die Rolle übernehmen. Der Administrator für das neue vertrauenswürdige Konto muss den Benutzern die Berechtigung erteilen, die Rolle zu übernehmen. Dazu muss der Administrator eine Richtlinie erstellen oder bearbeiten, die an den Benutzer angehängt ist, um dem Benutzer den Zugriff auf die Aktion sts:AssumeRole zu ermöglichen. Weitere Informationen finden Sie im folgenden Verfahren oder unter Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel.

Der folgende Richtlinienausschnitt zeigt, wie auf zwei AWS-Services im Principal-Element verwiesen wird:
```
"Principal": {
  "Service": [
    "opsworks.amazonaws.com",
    "ec2.amazonaws.com"
  ]
},
```
Wenn Sie die Bearbeitung Ihrer Vertrauensrichtlinie abgeschlossen haben, wählen Sie Update policy (Richtlinie aktualisieren), um Ihre Änderungen zu speichern.

Weitere Informationen über die Richtlinienstruktur und -syntax finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management und Referenz zum IAM-JSON-Richtlinienelement.

So erteilen Sie Benutzern in einem vertrauenswürdigen Konto die Berechtigung zur Verwendung der Rolle (Konsole)

Weitere Informationen und Details zu dieser Vorgehensweise finden Sie unter Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel.

Melden Sie sich bei dem vertrauenswürdigen externen AWS-Konto an.
Legen Sie fest, ob die Berechtigungen einem Benutzer oder einer Gruppe angefügt werden. Wählen Sie im Navigationsbereich der IAM-Konsole entsprechend Users (Benutzer) oder Groups (Gruppen).
Wählen Sie den Namen des Benutzers oder der Gruppe aus, der Sie die Zugriffsberechtigung erteilen möchten, und klicken Sie auf die Registerkarte Permissions (Berechtigungen).
Führen Sie eine der folgenden Aktionen aus:
- Um eine vom Kunden verwaltete Richtlinien zu bearbeiten, wählen Sie den Namen der Richtlinie, Edit policy (Richtlinie bearbeiten) und die Registerkarte JSON. Sie können eine AWS verwaltete Richtlinie nicht bearbeiten. AWS verwaltete Richtlinien werden mit dem AWS-Symbol markiert ( ). Weitere Informationen zum Unterschied zwischen von AWS und vom Kunden verwaltete Richtlinien finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien.
- Um eine Inlinerichtlinie zu bearbeiten, wählen Sie den Pfeil neben dem Namen der Richtlinie und dann Edit policy (Richtlinie bearbeiten).
Fügen Sie im Richtlinien-Editor ein neues Statement-Element hinzu, welches folgende Angaben macht:
```
{
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME"
}
```
Ersetzen Sie den ARN in der Anweisung durch den ARN der Rolle, die der Benutzer übernehmen kann.
Folgen Sie den Anweisungen auf dem Bildschirm, um die Bearbeitung der Richtlinie abzuschließen.

Aktualisierung einer Rollenvertrauensrichtlinie (AWS CLI)

Über die AWS CLI können Sie ändern, wer eine Rolle übernehmen kann.

So ändern Sie eine Rollenvertrauensrichtinie (AWS CLI)

(Optional) Wenn Sie den Namen der Rolle, die Sie ändern möchten, nicht kennen, führen Sie den folgenden Befehl aus, um die Rollen im Konto aufzulisten:
- aws iam list-roles
(Optional) Um die aktuelle Vertrauensrichtlinie einer Rolle anzuzeigen, führen Sie den folgenden Befehl aus:
- aws iam get-role
Um die vertrauenswürdigen Auftraggeber zu ändern, die auf die Rolle zugreifen können, erstellen Sie eine Textdatei mit der aktualisierten Vertrauensrichtlinie. Sie können zum Erstellen der Richtlinie einen beliebigen Texteditor verwenden.

Die folgende Vertrauensrichtlinie zeigt, wie auf zwei AWS-Konten im Principal-Element verwiesen wird. Auf diese Weise können Benutzer innerhalb von zwei separaten AWS-Konten diese Rolle übernehmen.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}
```
Wenn Sie einen Auftraggeber in einem anderen Konto angeben, ist das Hinzufügen eines Kontos zur Vertrauensrichtlinie einer Rolle nur die Hälfte der Einrichtung einer kontoübergreifenden Vertrauensbeziehung. Standardmäßig kann kein Benutzer in den vertrauenswürdigen Konten die Rolle übernehmen. Der Administrator für das neue vertrauenswürdige Konto muss den Benutzern die Berechtigung erteilen, die Rolle zu übernehmen. Dazu muss der Administrator eine Richtlinie erstellen oder bearbeiten, die an den Benutzer angehängt ist, um dem Benutzer den Zugriff auf die Aktion sts:AssumeRole zu ermöglichen. Weitere Informationen finden Sie im folgenden Verfahren oder unter Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel.
Um die soeben erstellte Datei zur Aktualisierung der Vertrauensrichtlinie zu verwenden, führen Sie den folgenden Befehl aus:
- aws iam update-assume-role-policy

So erteilen Sie Benutzern in einem vertrauenswürdigen Konto die Berechtigung zur Verwendung der Rolle (AWS CLI)

Weitere Informationen und Details zu dieser Vorgehensweise finden Sie unter Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel.

Erstellen Sie eine JSON-Datei, die eine Berechtigungsrichtlinie enthält, die Berechtigungen für die Übernahme der Rolle erteilt. Die folgende Richtlinie enthält beispielsweise die erforderlichen Mindestberechtigungen:
```
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}
```
Ersetzen Sie den ARN in der Anweisung durch den ARN der Rolle, die der Benutzer übernehmen kann.
Führen Sie den folgenden Befehl aus, um die JSON-Datei, die die Vertrauensrichtlinie enthält, in IAM hochzuladen:
- aws iam create-policy
Die Ausgabe dieses Befehls enthält den ARN der Richtlinie. Notieren Sie sich diesen ARN, da Sie ihn zu einem späteren Zeitpunkt brauchen.
Legen Sie fest, welchem Benutzer oder welcher Gruppe Sie die Richtlinie anfügen. Wenn Sie den Namen des betreffenden Benutzers oder der Gruppe nicht kennen, geben Sie einen der folgenden Befehle ein, um die Benutzer oder Gruppen im Konto aufzulisten:
- aws iam list-users
- aws iam list-groups
Verwenden Sie einen der folgenden Befehle, um die im vorherigen Schritt erstellte Richtlinie an einen Benutzer oder eine Gruppe anzufügen:
- aws iam attach-user-policy
- aws iam attach-group-policy

Aktualisierung einer Rollenvertrauensrichtlinie (AWS-API)

Über die AWS können Sie ändern, wer eine Rolle übernehmen kann.

So ändern Sie die Rollenvertrauensrichtinie (AWS-API)

(Optional) Wenn Sie den Namen der Rolle, die Sie ändern möchten, nicht kennen, rufen Sie die folgende Operation auf, um die Rollen im Konto aufzulisten:
- ListRoles
(Optional) Um die aktuelle Vertrauensrichtlinie einer Rolle anzuzeigen, rufen Sie die folgende Operation auf:
- GetRole
Um die vertrauenswürdigen Auftraggeber zu ändern, die auf die Rolle zugreifen können, erstellen Sie eine Textdatei mit der aktualisierten Vertrauensrichtlinie. Sie können zum Erstellen der Richtlinie einen beliebigen Texteditor verwenden.

Die folgende Vertrauensrichtlinie zeigt, wie auf zwei AWS-Konten im Principal-Element verwiesen wird. Auf diese Weise können Benutzer innerhalb von zwei separaten AWS-Konten diese Rolle übernehmen.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}
```
Wenn Sie einen Auftraggeber in einem anderen Konto angeben, ist das Hinzufügen eines Kontos zur Vertrauensrichtlinie einer Rolle nur die Hälfte der Einrichtung einer kontoübergreifenden Vertrauensbeziehung. Standardmäßig kann kein Benutzer in den vertrauenswürdigen Konten die Rolle übernehmen. Der Administrator für das neue vertrauenswürdige Konto muss den Benutzern die Berechtigung erteilen, die Rolle zu übernehmen. Dazu muss der Administrator eine Richtlinie erstellen oder bearbeiten, die an den Benutzer angehängt ist, um dem Benutzer den Zugriff auf die Aktion sts:AssumeRole zu ermöglichen. Weitere Informationen finden Sie im folgenden Verfahren oder unter Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel.
Um die soeben erstellte Datei zur Aktualisierung der Vertrauensrichtlinie zu verwenden, führen Sie die folgende Operation aus:
- UpdateAssumeRolePolicy

So erteilen Sie Benutzern in einem vertrauenswürdigen externen Konto die Berechtigung zur Verwendung der Rolle (AWS-API)

Weitere Informationen und Details zu dieser Vorgehensweise finden Sie unter Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel.

Erstellen Sie eine JSON-Datei, die eine Berechtigungsrichtlinie enthält, die Berechtigungen für die Übernahme der Rolle erteilt. Die folgende Richtlinie enthält beispielsweise die erforderlichen Mindestberechtigungen:
```
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}
```
Ersetzen Sie den ARN in der Anweisung durch den ARN der Rolle, die der Benutzer übernehmen kann.
Führen Sie die folgende Operation aus, um die JSON-Datei, die die Vertrauensrichtlinie enthält, in IAM hochzuladen:
- CreatePolicy
Die Ausgabe dieser Operation enthält den ARN der Richtlinie. Notieren Sie sich diesen ARN, da Sie ihn zu einem späteren Zeitpunkt brauchen.
Legen Sie fest, welchem Benutzer oder welcher Gruppe Sie die Richtlinie anfügen. Wenn Sie den Namen des betreffenden Benutzers oder der Gruppe nicht kennen, rufen Sie eine der folgenden Operationen auf, um die Benutzer oder Gruppen im Konto aufzulisten:
- ListUsers
- ListGroups
Rufen Sie eine der folgenden Operationen auf, um die im vorherigen Schritt erstellte Richtlinie an einen Benutzer oder eine Gruppe anzufügen:
- API: AttachUserPolicy
- AttachGroupPolicy

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Serviceverknüpfte Rolle aktualisieren

Aktualisieren von Rollenberechtigungen