Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erteilen Sie einem Benutzer die Erlaubnis, die Rollen zu wechseln
Wenn ein Administrator eine Rolle für kontenübergreifenden Zugriff erstellt, richtet er eine Vertrauensstellung zwischen dem Konto, zu dem die Rolle gehört, sowie den Ressourcen (vertrauendes Konto) und dem Konto ein, das die Benutzer enthält (vertrauenswürdiges Konto). Zu diesem Zweck gibt der Administrator des vertrauenswürdigen Kontos die Nummer des vertrauenswürdigen Kontos als Principal
in der Vertrauensrichtlinie der Rolle an. Dadurch kann jeder Benutzer im vertrauenswürdigen Konto potenziell die Rolle übernehmen. Zum Abschließen der Konfiguration muss der Administrator des vertrauenswürdigen Kontos bestimmten Gruppen oder Benutzern in diesem Konto die Berechtigung zum Wechseln zu der Rolle erteilen.
So erteilen Sie die Berechtigung zum Wechseln einer Rolle
-
Erstellen Sie als Administrator des vertrauenswürdigen Kontos eine neue Richtlinie für den Benutzer, oder bearbeiten Sie eine bestehende Richtlinie, um die erforderlichen Elemente hinzuzufügen. Details hierzu finden Sie unter Erstellen oder Bearbeiten der Richtlinie.
-
Wählen Sie dann, wie Sie die Rolleninformationen freigeben möchten:
-
Link zur Rolle: Sie können den Benutzern einen Link zusenden, mit dem sie zur Seite Switch Role (Rolle wechseln) gelangen, auf der sämtliche Angaben bereits ausgefüllt sind.
-
Konto-ID oder Alias: Geben Sie jedem Benutzer den Rollennamen sowie die Konto-ID-Nummer oder den Konto-Alias. Der Benutzer öffnet dann die Seite Switch Role (Rolle wechseln) und gibt die Details manuell ein.
Details hierzu finden Sie unter Bereitstellen von Informationen an den Benutzer.
-
Beachten Sie, dass Sie die Rollen nur wechseln können, wenn Sie sich als IAM Benutzer, als SAML Verbundrolle oder als Verbundrolle mit Web-Identität anmelden. Sie können keine Rollen wechseln, wenn Sie als Root-Benutzer des AWS-Kontos angemeldet sind.
Wichtig
Sie können die Rollen nicht zu einer Rolle wechseln AWS Management Console , für die ein Wert erforderlich ist. ExternalId Sie können nur zu einer solchen Rolle wechseln, indem Sie die aufrufen AssumeRole
API, die den ExternalId
Parameter unterstützt.
Hinweise
-
In diesem Thema werden die Richtlinien für einen Benutzer erörtert, da Sie letztendlich einem Benutzer die Berechtigungen zum Erledigen einer Aufgabe erteilen. Wir raten Ihnen jedoch davon ab, einem einzelnen Benutzer direkt Berechtigungen zu erteilen. Wenn ein Benutzer eine Rolle annimmt, werden ihm die mit dieser Rolle verknüpften Berechtigungen zugewiesen.
-
Wenn Sie in der die Rollen wechseln AWS Management Console, verwendet die Konsole immer Ihre ursprünglichen Anmeldeinformationen, um den Switch zu autorisieren. Dies gilt unabhängig davon, ob Sie sich als IAM Benutzer, als SAML Verbundrolle oder als Verbundrolle mit Web-Identität anmelden. Wenn Sie beispielsweise zu RoleA wechseln, IAM verwendet Ihre ursprünglichen Benutzer- oder Verbundrollenanmeldeinformationen, um zu ermitteln, ob Sie RoleA übernehmen dürfen. Wenn Sie dann versuchen, zu RolleB zu wechseln, während Sie RolleA verwenden, werden Ihre ursprünglichen Benutzer- oder Verbundrollen-Anmeldeinformationen verwendet, um Ihren Versuch zu autorisieren. Die Anmeldeinformationen für RoleA werden für diese Aktion nicht verwendet.
Erstellen oder Bearbeiten der Richtlinie
Eine Richtlinie, die dem Benutzer die Berechtigung zum Übernehmen einer Rolle gewährt, muss eine Anweisung enthalten, die für folgende Komponenten Allow
gewährt:
-
sts:AssumeRole
-Aktion -
Der Amazon-Ressourcenname (ARN) der Rolle in einem
Resource
Element
Benutzer, die diese Richtlinie erhalten, dürfen die Rolle der aufgelisteten Ressource wechseln (entweder über eine Gruppenmitgliedschaft oder direkt angehängt).
Anmerkung
Wenn Resource
auf *
gesetzt ist, kann der Benutzer jede Rolle in jedem Konto übernehmen, das dem Konto des Benutzers vertraut. (Mit anderen Worten, die Vertrauensrichtlinie der Rolle gibt das Konto des Benutzers als Principal
an). Als bewährte Methode empfehlen wir, dass Sie dem Prinzip der geringsten Rechte
Das folgende Beispiel zeigt eine Richtlinie, mit der der Benutzer Rollen in nur einem Konto übernehmen kann. Zudem verwendet die Richtlinie einen Platzhalter (*), um anzugeben, dass der Benutzer nur zu einer Rolle wechseln kann, wenn der Rollenname mit den Buchstaben Test
beginnt.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::
account-id
:role/Test*" } }
Anmerkung
Die Berechtigungen, die die Rolle dem Benutzer gewährt, werden nicht zu den Berechtigungen addiert, die dem Benutzer bereits gewährt wurden. Wenn ein Benutzer zu einer Rolle wechselt, verzichtet er vorübergehend auf seine ursprünglichen Berechtigungen und erhält die Berechtigungen, die durch die Rolle gewährt werden. Wenn der Benutzer die Rolle beendet, werden die ursprünglichen Benutzerberechtigungen automatisch wiederhergestellt. Nehmen wir zum Beispiel an, die Berechtigungen des Benutzers erlauben die Arbeit mit EC2 Amazon-Instances, aber die Berechtigungsrichtlinie der Rolle gewährt diese Berechtigungen nicht. In diesem Fall kann der Benutzer während der Verwendung der Rolle nicht mit EC2 Amazon-Instances in der Konsole arbeiten. Darüber hinaus funktionieren temporäre Anmeldeinformationen, die über abgerufen wurden, programmgesteuert AssumeRole
nicht mit EC2 Amazon-Instances.
Bereitstellen von Informationen an den Benutzer
Nachdem Sie eine Rolle erstellt und dem Benutzer die Berechtigungen zum Wechseln zu dieser Rolle gewährt haben, müssen Sie dem Benutzer Folgendes bereitstellen:
-
Der Name der Rolle
-
Konto-ID oder Kontoalias mit der Rolle
Sie können den Vorgang für Ihre Benutzer erleichtern, indem Sie ihnen einen Link zusenden, der mit der Konto-ID und dem Rollennamen vorkonfiguriert ist. Sie können den Link zur Rolle sehen, nachdem Sie den Assistenten zum Erstellen einer Rolle abgeschlossen haben, indem Sie das Banner Rolle anzeigen auswählen oder auf der Seite Rollenübersicht für jede kontoübergreifende Rolle klicken.
Sie können auch das folgende Format verwenden, um den Link manuell zu erstellen. Ersetzen Sie die beiden Parameter in der Anforderung durch Ihre Konto-ID bzw. den Alias und den Rollennamen.
https://signin.aws.amazon.com/switchrole?account=
your_account_ID_or_alias
&roleName=optional_path/role_name
Wir empfehlen Ihnen, Ihre Benutzer zum Thema Von einem Benutzer zu einer IAM Rolle wechseln (Konsole) weiterzuleiten, um sie schrittweise durch den Prozess zu führen. Zur Behebung typischer Probleme beim Übernehmen einer Rolle vgl. Ich kann eine Rolle nicht übernehmen.
Überlegungen
-
Wenn Sie die Rolle programmatisch erstellen, können Sie einen Pfad und einen Namen angeben. In diesem Fall müssen Sie Ihren Benutzern den vollständigen Pfad und den Rollennamen zur Eingabe auf der Seite Switch Role (Rolle wechseln) der AWS Management Console bereitstellen. Beispiel:
division_abc/subdivision_efg/role_XYZ
. -
Wenn Sie die Rolle programmatisch erstellen, können Sie einen
Path
von bis zu 512 Zeichen und einenRoleName
hinzufügen. Er kann eine Länge von bis zu 64 Zeichen umfassen. Um jedoch eine Rolle mit der Funktion „Rolle wechseln“ in der zu verwenden AWS Management Console, darf die Kombination 64Path
ZeichenRoleName
nicht überschreiten.
-
Aus Sicherheitsgründen können Sie in den AWS CloudTrail Protokollen nachlesen, wer eine Aktion in ausgeführt hat AWS. Sie können den
sts:SourceIdentity
-Bedingungsschlüssel in der Rollenvertrauensrichtlinie verwenden, damit Benutzer einen Sitzungsnamen angeben müssen, wenn sie eine Rolle übernehmen. Sie können beispielsweise verlangen, dass IAM Benutzer ihren eigenen Benutzernamen als Quellenidentität angeben. Auf diese Weise können Sie feststellen, welcher Benutzer eine bestimmte Aktion in AWS ausgeführt hat. Weitere Informationen finden Sie unter sts:SourceIdentity. Sie können auch sts:RoleSessionName verwenden, um von den Benutzern zu verlangen, dass sie einen Sitzungsnamen angeben, wenn sie eine Rolle übernehmen. Auf diese Weise können Sie zwischen Rollensitzungen unterscheiden, wenn eine Rolle von verschiedenen Auftraggeber verwendet wird.