Eine Rolle ändern (AWS API) - AWS Identitäts- und Zugriffsverwaltung
Änderung einer Rollenvertrauensrichtlinie (AWS API)Änderung einer Rollenberechtigungsrichtlinie (AWS API)Ändern einer Rollenbeschreibung (AWS -API)Änderung der maximalen Sitzungsdauer einer Rolle (AWS API)Änderung einer Grenze für Rollenberechtigungen (AWS API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine Rolle ändern (AWS API)

Sie können die AWS API verwenden, um eine Rolle zu ändern. Informationen zum Ändern der Gruppe von Tags einer Rolle finden Sie unter Verwaltung von Tags in IAM-Rollen (AWS CLI oder AWS API).

Änderung einer Rollenvertrauensrichtlinie (AWS API)

Um zu ändern, wer eine Rolle übernehmen kann, müssen Sie die Vertrauensrichtlinie der Rolle bearbeiten. Sie können die Vertrauensrichtlinie für eine serviceverknüpfte Rolle nicht ändern.

Hinweise

  • Wenn ein Benutzer als Auftraggeber in der Vertrauensrichtlinie einer Rolle aufgeführt ist, aber die Rolle nicht übernehmen kann, überprüfen Sie die Berechtigungsgrenze des Benutzers. Wenn eine Berechtigungsgrenze für den Benutzer festgelegt ist, dann muss sie die sts:AssumeRole-Aktion zulassen.

  • Damit Benutzer die aktuelle Rolle innerhalb einer Rollensitzung wieder übernehmen können, geben Sie den Rollen-ARN oder AWS-Konto ARN als Principal in der Rollenvertrauensrichtlinie an. AWS-Services die Rechenressourcen wie Amazon EC2, Amazon ECS, Amazon EKS und Lambda bereitstellen, stellen temporäre Anmeldeinformationen bereit und aktualisieren diese Anmeldeinformationen automatisch. Dadurch wird sichergestellt, dass Sie immer über gültige Anmeldeinformationen verfügen. Für diese Dienste ist es nicht erforderlich, die aktuelle Rolle erneut anzunehmen, um temporäre Anmeldeinformationen zu erhalten. Wenn Sie jedoch beabsichtigen, Sitzungs-Tags oder eine Sitzungsrichtlinie zu übergeben, müssen Sie die aktuelle Rolle erneut annehmen. Informationen zum Ändern einer Rollenvertrauensrichtlinie zum Hinzufügen der Hauptrollen ARN oder AWS-Konto ARN finden Sie unterÄndern einer Rollenvertrauensrichtlinie (Konsole).

So ändern Sie eine Rollenvertrauensrichtlinie (AWS API)

  1. (Optional) Wenn Sie den Namen der Rolle, die Sie ändern möchten, nicht kennen, rufen Sie die folgende Operation auf, um die Rollen im Konto aufzulisten:

  2. (Optional) Um die aktuelle Vertrauensrichtlinie einer Rolle anzuzeigen, rufen Sie die folgende Operation auf:

  3. Um die vertrauenswürdigen Auftraggeber zu ändern, die auf die Rolle zugreifen können, erstellen Sie eine Textdatei mit der aktualisierten Vertrauensrichtlinie. Sie können zum Erstellen der Richtlinie einen beliebigen Texteditor verwenden.

    Die folgende Vertrauensrichtlinie zeigt beispielsweise, wie AWS-Konten in dem Principal Element auf zwei verwiesen wird. Auf diese Weise können Benutzer innerhalb von zwei separaten AWS-Konten diese Rolle übernehmen.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}

    Wenn Sie einen Auftraggeber in einem anderen Konto angeben, ist das Hinzufügen eines Kontos zur Vertrauensrichtlinie einer Rolle nur die Hälfte der Einrichtung einer kontoübergreifenden Vertrauensbeziehung. Standardmäßig kann kein Benutzer in den vertrauenswürdigen Konten die Rolle übernehmen. Der Administrator für das neue vertrauenswürdige Konto muss den Benutzern die Berechtigung erteilen, die Rolle zu übernehmen. Dazu muss der Administrator eine Richtlinie erstellen oder bearbeiten, die an den Benutzer angehängt ist, um dem Benutzer den Zugriff auf die Aktion sts:AssumeRole zu ermöglichen. Weitere Informationen finden Sie im folgenden Verfahren oder unter Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen.

  4. Um die soeben erstellte Datei zur Aktualisierung der Vertrauensrichtlinie zu verwenden, führen Sie die folgende Operation aus:

Um Benutzern in einem vertrauenswürdigen externen Konto die Verwendung der Rolle (AWS API) zu ermöglichen

Weitere Informationen und Details zu dieser Vorgehensweise finden Sie unter Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen.

  1. Erstellen Sie eine JSON-Datei, die eine Berechtigungsrichtlinie enthält, die Berechtigungen für die Übernahme der Rolle erteilt. Die folgende Richtlinie enthält beispielsweise die erforderlichen Mindestberechtigungen:

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}

    Ersetzen Sie den ARN in der Anweisung durch den ARN der Rolle, die der Benutzer übernehmen kann.

  2. Führen Sie die folgende Operation aus, um die JSON-Datei, die die Vertrauensrichtlinie enthält, in IAM hochzuladen:

    Die Ausgabe dieser Operation enthält den ARN der Richtlinie. Notieren Sie sich diesen ARN, da Sie ihn zu einem späteren Zeitpunkt brauchen.

  3. Legen Sie fest, welchem Benutzer oder welcher Gruppe Sie die Richtlinie anfügen. Wenn Sie den Namen des betreffenden Benutzers oder der Gruppe nicht kennen, rufen Sie eine der folgenden Operationen auf, um die Benutzer oder Gruppen im Konto aufzulisten:

  4. Rufen Sie eine der folgenden Operationen auf, um die im vorherigen Schritt erstellte Richtlinie an einen Benutzer oder eine Gruppe anzufügen:

Änderung einer Rollenberechtigungsrichtlinie (AWS API)

Um die von der Rolle zugelassenen Berechtigungen zu ändern, modifizieren Sie die Berechtigungsrichtlinie (oder Berechtigungsrichtlinien) der Rolle. Sie können die Berechtigungsrichtlinie für eine serviceverknüpfte Rolle in IAM nicht ändern. Möglicherweise können Sie die Berechtigungsrichtlinie innerhalb des Service ändern, der von der Rolle abhängt. Um zu überprüfen, ob ein Service dieses Feature unterstützt, lesen Sie AWS Dienste, die mit IAM funktionieren und suchen Sie nach den Services mit Yes (Ja) in der Spalte Service-linked roles (Serviceverknüpfte Rollen). Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Um die von einer Rolle (AWS API) erlaubten Berechtigungen zu ändern

  1. (Optional) Um die aktuell mit einer Rolle verknüpften Berechtigungen anzuzeigen, rufen Sie die folgenden Operationen auf:

    1. ListRolePoliciesum Inline-Richtlinien aufzulisten

    2. ListAttachedRolePoliciesum verwaltete Richtlinien aufzulisten

  2. Die Operation zum Aktualisieren von Berechtigungen der Rolle unterscheidet sich je nachdem, ob Sie eine verwaltete oder eine Inline-Richtlinie aktualisieren.

    Wenn Sie eine verwaltete Richtlinie aktualisieren möchten, rufen Sie die folgende Operation auf, um eine neue Version der verwalteten Richtlinie zu erstellen:

    Um eine Inline-Richtlinie zu aktualisieren, rufen Sie die folgende Operation auf:

Ändern einer Rollenbeschreibung (AWS -API)

Um die Beschreibung einer Rolle zu ändern, modifizieren Sie den Text der Beschreibung.

Um die Beschreibung einer Rolle (AWS API) zu ändern

  1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, rufen Sie die folgende Operation auf:

  2. Um die Beschreibung einer Rolle zu aktualisieren, rufen Sie die folgende Operation mit dem Beschreibungsparameter auf:

Änderung der maximalen Sitzungsdauer einer Rolle (AWS API)

Um die maximale Sitzungsdauer für Rollen festzulegen, die mithilfe der AWS CLI oder API angenommen werden, ändern Sie den Wert der maximalen Sitzungsdauer. Diese Einstellung kann einen Wert zwischen 1 Stunde und 12 Stunden haben. Wenn Sie keinen Wert angeben, wird der maximale Standardwert von einer Stunde angewendet. Diese Einstellung schränkt die von AWS Diensten angenommenen Sitzungen nicht ein.

Anmerkung

Jeder, der die Rolle von der API AWS CLI oder übernimmt, kann den duration-seconds CLI-Parameter oder den DurationSeconds API-Parameter verwenden, um eine längere Sitzung anzufordern. Die Einstellung MaxSessionDuration bestimmt die maximale Dauer der Rollensitzung, die mit dem DurationSeconds-Parameter angefordert werden kann. Wenn Benutzer keinen Wert für den DurationSeconds-Parameter angeben, sind ihre Sicherheitsanmeldeinformationen eine Stunde lang gültig.

Um die Einstellung für die maximale Sitzungsdauer für Rollen zu ändern, die mithilfe der API (AWS API) übernommen werden

  1. (Optional) Um die aktuelle maximale Sitzungsdauer für eine Rolle anzuzeigen, rufen Sie die folgende Operation auf:

  2. Um die maximale Sitzungsdauer einer Rolle zu aktualisieren, rufen Sie die folgende Operation mit dem CLI-Parameter max-sessionduration oder dem API-Parameter MaxSessionDuration auf:

    Ihre Änderungen werden erst wirksam, wenn das nächste Mal jemand diese Rolle annimmt. Weitere Informationen dazu, wie Sie bestehende Sitzungen für diese Rolle widerrufen, finden Sie unter Widerrufen der temporären Sicherheitsanmeldeinformationen für IAM-Rollen.

Änderung einer Grenze für Rollenberechtigungen (AWS API)

Um die maximalen Berechtigungen zu ändern, die für eine Rolle zulässig sind, ändern Sie die Berechtigungsgrenze der Rolle.

Ändern der verwalteten Richtlinie zum Festlegen der Berechtigungsgrenze für eine Rolle (AWS -API)

  1. (Optional) Um die aktuelle Berechtigungsgrenze einer Rolle anzuzeigen, führen Sie die folgende Operation aus:

  2. Um eine andere verwaltete Richtlinie zum Aktualisieren der Berechtigungsgrenze für eine Rolle zu verwenden, führen Sie die folgende Operation aus:

    Eine Rolle kann nur eine verwaltete Richtlinie als Berechtigungsgrenze festlegen. Wenn Sie die Berechtigungsgrenze ändern, ändern Sie die maximal zulässigen Berechtigungen für eine Rolle.