Verwenden Sie AssumeRoleWithWebIdentity mit einem CLI - AWS SDKCode-Beispiele

Weitere AWS SDK Beispiele sind im Repo AWS Doc SDK Examples GitHub verfügbar.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie AssumeRoleWithWebIdentity mit einem CLI

Die folgenden Codebeispiele zeigen, wie man es benutztAssumeRoleWithWebIdentity.

CLI
AWS CLI

Um kurzfristige Anmeldeinformationen für eine mit Web Identity authentifizierte Rolle zu erhalten (OAuth2."0)

Der folgende assume-role-with-web-identity Befehl ruft eine Reihe von kurzfristigen Anmeldeinformationen für die Rolle ab. IAM app1 Die Anforderung wird mithilfe des Webidentitäts-Tokens authentifiziert, das vom angegebenen Web-Identity-Anbieter bereitgestellt wird. Zwei zusätzliche Richtlinien werden auf die Sitzung angewendet, um die Möglichkeiten des Benutzers weiter einzuschränken. Die zurückgegebenen Anmeldeinformationen laufen eine Stunde nach ihrer Generierung ab.

aws sts assume-role-with-web-identity \
    --duration-seconds 3600 \
    --role-session-name "app1" \
    --provider-id "www.amazon.com" \
    --policy-arns "arn:aws:iam::123456789012:policy/q=webidentitydemopolicy1","arn:aws:iam::123456789012:policy/webidentitydemopolicy2" \
    --role-arn arn:aws:iam::123456789012:role/FederatedWebIdentityRole \
    --web-identity-token "Atza%7CIQEBLjAsAhRFiXuWpUXuRvQ9PZL3GMFcYevydwIUFAHZwXZXXXXXXXXJnrulxKDHwy87oGKPznh0D6bEQZTSCzyoCtL_8S07pLpr0zMbn6w1lfVZKNTBdDansFBmtGnIsIapjI6xKR02Yc_2bQ8LZbUXSGm6Ry6_BG7PrtLZtj_dfCTj92xNGed-CrKqjG7nPBjNIL016GGvuS5gSvPRUxWES3VYfm1wl7WTI7jn-Pcb6M-buCgHhFOzTQxod27L9CqnOLio7N3gZAGpsp6n1-AJBOCJckcyXe2c6uD0srOJeZlKUm2eTDVMf8IehDVI0r1QOnTV6KzzAI3OY87Vd_cVMQ"

Ausgabe:

{
    "SubjectFromWebIdentityToken": "amzn1.account.AF6RHO7KZU5XRVQJGXK6HB56KR2A"
    "Audience": "client.5498841531868486423.1548@apps.example.com",
    "AssumedRoleUser": {
        "Arn": "arn:aws:sts::123456789012:assumed-role/FederatedWebIdentityRole/app1",
        "AssumedRoleId": "AROACLKWSDQRAOEXAMPLE:app1"
    }
    "Credentials": {
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
        "Expiration": "2020-05-19T18:06:10+00:00"
    },
    "Provider": "www.amazon.com"
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Temporäre Sicherheitsanmeldedaten anfordern.

PowerShell
Tools für PowerShell

Beispiel 1: Gibt einen temporären Satz von Anmeldeinformationen zurück, der für eine Stunde gültig ist, für einen Benutzer, der mit dem Identity-Provider „Login with Amazon“ authentifiziert wurde. Die Anmeldeinformationen gehen von der Zugriffsrichtlinie aus, die mit der durch die Rolle identifizierten Rolle verknüpft ist. ARN Optional können Sie dem Parameter JSON -Policy eine Richtlinie übergeben, die die Zugriffsberechtigungen weiter verfeinert (Sie können nicht mehr Berechtigungen gewähren, als in den mit der Rolle verknüpften Berechtigungen verfügbar sind). Der an - übergebene Wert WebIdentityToken ist die eindeutige Benutzer-ID, die vom Identitätsanbieter zurückgegeben wurde.

Use-STSWebIdentityRole -DurationInSeconds 3600 -ProviderId "www.amazon.com" -RoleSessionName "app1" -RoleArn "arn:aws:iam::123456789012:role/FederatedWebIdentityRole" -WebIdentityToken "Atza...DVI0r1"