Beralih ke peran IAM ()AWS CLI - AWS Identity and Access Management
Skenario contoh: Beralih ke peran produksiSkenario contoh: Menginzinkan peran profil instans untuk beralih ke peran dalam akun lain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Beralih ke peran IAM ()AWS CLI

Peran menentukan serangkaian izin yang dapat Anda gunakan untuk mengakses sumber daya AWS yang Anda perlukan. Dalam hal ini, ini mirip dengan pengguna di AWS Identity and Access Management (IAM). Saat Anda masuk sebagai pengguna, Anda mendapatkan serangkaian izin tertentu. Namun, Anda tidak masuk ke sebuah peran, tetapi setelah masuk sebagai pengguna, Anda dapat beralih ke sebuah peran. Sementara waktu ini mengesampingkan izin pengguna awal Anda dan justru memberikan izin yang ditetapkan untuk peran. Perannya bisa di akun Anda sendiri atau lainnya Akun AWS. Untuk informasi lebih lanjut tentang peran, keuntungannya, dan cara membuatnya, lihat Peran IAM, dan Membuat Peran IAM. Untuk mempelajari tentang berbagai metode yang dapat Anda gunakan untuk mengasumsikan peran, lihat Menggunakan peran IAM.

penting

Izin pengguna IAM Anda dan peran apa pun yang Anda asumsikan tidak bersifat kumulatif. Hanya satu rangkaian izin yang aktif pada satu waktu. Saat Anda mengasumsikan suatu peran, sementara waktu Anda meninggalkan izin pengguna dan bekerja dengan izin yang ditetapkan ke peran tersebut. Saat Anda keluar dari peran, izin pengguna asli Anda dipulihkan secara otomatis.

Anda dapat menggunakan peran untuk menjalankan AWS CLI perintah saat Anda masuk sebagai pengguna IAM. Anda juga dapat menggunakan peran untuk menjalankan AWS CLI perintah ketika Anda masuk sebagai pengguna yang diautentikasi secara eksternal (SALL atau OIDC) yang sudah menggunakan peran. Selain itu, Anda dapat menggunakan peran untuk menjalankan AWS CLI perintah dari dalam instans Amazon EC2 yang dilampirkan ke peran melalui profil instance-nya. Anda tidak dapat mengambil peran saat masuk sebagai Pengguna root akun AWS.

Rantai peran — Anda juga dapat menggunakan rantai peran, yang menggunakan izin dari peran untuk mengakses peran kedua.

Secara default, sesi peran Anda berlangsung selama satu jam. Saat Anda mengasumsikan peran dengan menggunakan assume-role* operasi CLI, Anda dapat menentukan nilai untuk parameter duration-seconds. Nilai ini dapat berkisar dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran tersebut. Jika Anda beralih peran di konsol, durasi sesi Anda dibatasi hingga maksimal satu jam. Untuk mempelajari cara melihat nilai maksimum untuk peran Anda, lihat Lihat pengaturan durasi sesi maksimum untuk peran.

Saat Anda menggunakan rantai peran, kredensial baru Anda dibatasi hingga durasi maksimum satu jam. Jika Anda kemudian menggunakan parameter duration-seconds untuk memberikan nilai lebih dari satu jam, operasi gagal.

Skenario contoh: Beralih ke peran produksi

Bayangkan bahwa Anda adalah pengguna IAM untuk bekerja di lingkungan pengembangan. Dalam skenario ini, Anda terkadang perlu bekerja dengan lingkungan produksi pada baris perintah dengan AWS CLI. Anda sudah memiliki kredensial access key yang tersedia untuk Anda. Ini dapat berupa key pair akses yang ditetapkan untuk pengguna IAM standar Anda. Atau, jika Anda masuk sebagai pengguna federasi, itu dapat menjadi key pair akses untuk peran yang awalnya ditetapkan kepada Anda. Jika izin Anda saat ini memberi Anda kemampuan untuk mengambil peran IAM tertentu, maka Anda dapat mengidentifikasi peran tersebut dalam “profil” dalam file AWS CLI konfigurasi. Perintah tersebut kemudian dijalankan atas izin peran IAM yang ditentukan, bukan identitas awal. Perhatikan bahwa ketika Anda menentukan profil itu dalam sebuah AWS CLI perintah, Anda menggunakan peran baru. Dalam situasi ini, Anda tidak dapat menggunakan izin awal dalam akun pengembangan pada saat bersamaan. Alasannya adalah bahwa hanya satu rangkaian izin yang dapat berlaku pada satu waktu.

catatan

Untuk tujuan keamanan, administrator dapat meninjau AWS CloudTrail log untuk mengetahui siapa yang melakukan tindakan. AWS Administrator Anda mungkin akan meminta Anda menentukan identitas sumber atau nama sesi peran ketika Anda mengambil peran tersebut. Untuk informasi selengkapnya, lihat sts:SourceIdentity dan sts:RoleSessionName.

Untuk beralih ke peran produksi (AWS CLI)

  1. Jika Anda belum pernah menggunakan AWS CLI, maka Anda harus terlebih dahulu mengkonfigurasi profil CLI default Anda. Buka prompt perintah dan atur AWS CLI instalasi Anda untuk menggunakan kunci akses dari pengguna IAM Anda atau dari peran federasi Anda. Untuk informasi lebih lanjut, lihat Mengonfigurasi AWS Command Line Interface di Panduan Pengguna AWS Command Line Interface .

    Jalankan perintah aws configure sebagai berikut:

    aws configure

    Saat diminta, berikan informasi berikut:

    AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-east-2
Default output format [None]: json

  2. Buat profil baru untuk peran dalam .aws/config file dalam Unix atau Linux, atau C:\Users\USERNAME\.aws\config file dalam Windows. Contoh berikut membuat sebuah profil bernama prodaccess yang beralih ke peran ProductionAccessRole dalam akun 123456789012. Anda mendapatkan peran ARN dari administrator akun yang membuat peran tersebut. Ketika profil ini dipanggil, akan AWS CLI menggunakan kredensil source_profile untuk meminta kredensil untuk peran tersebut. Oleh karena itu, identitas direferensikan karena source_profile harus memiliki izin sts:AssumeRole untuk peran yang ditentukan dalam role_arn.

    [profile prodaccess]
    role_arn = arn:aws:iam::123456789012:role/ProductionAccessRole
    source_profile = default

  3. Setelah Anda membuat profil baru, AWS CLI perintah apa pun yang menentukan parameter --profile prodaccess berjalan di bawah izin yang dilampirkan ke peran IAM, ProductionAccessRole bukan pengguna default.

    aws iam list-users --profile prodaccess

    Perintah ini berfungsi jika izin yang ditetapkan ke ProductionAccessRole mengaktifkan pencatuman pengguna di akun AWS saat ini.

  4. Untuk kembali ke izin yang diberikan oleh kredensial asli Anda, jalankan perintah tanpa parameter --profile. AWS CLI Kembali menggunakan kredensil di profil default Anda, yang Anda konfigurasikan. Tahap 1

Untuk informasi selengkapnya, lihat Mengasumsikan Peran dalam Panduan AWS Command Line Interface Pengguna.

Skenario contoh: Menginzinkan peran profil instans untuk beralih ke peran dalam akun lain

Bayangkan Anda menggunakan dua Akun AWS, dan Anda ingin mengizinkan aplikasi yang berjalan pada instans Amazon EC2 untuk menjalankan AWS CLIperintah di kedua akun. Anggap bahwa instans EC2 ada di akun 111111111111. Instance tersebut menyertakan peran profil abcd instance yang memungkinkan aplikasi melakukan tugas Amazon S3 hanya-baca di bucket dalam akun my-bucket-1 yang sama. 111111111111 Namun, aplikasi tersebut juga harus diizinkan untuk mengambil peran lintas akun efgh untuk melakukan tugas di akun 222222222222. Untuk melakukannya, peran profil instans EC2 abcd harus memiliki kebijakan izin berikut:

Kebijakan izin peran akun 1111111111 abcd

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAccountLevelS3Actions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetAccountPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowListAndReadS3ActionOnMyBucket",
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket-1/*",
                "arn:aws:s3:::my-bucket-1"
            ]
        },
        {
            "Sid": "AllowIPToAssumeCrossAccountRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::222222222222:role/efgh"
        }
    ]
}

Anggap bahwa efgh peran lintas akun memungkinkan tugas Amazon S3 hanya baca di bucket my-bucket-2 dengan akun 222222222222 yang sama. Untuk melakukannya, peran lintas akun efgh harus memiliki kebijakan izin berikut:

Kebijakan izin peran akun 2222222222 efgh

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAccountLevelS3Actions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetAccountPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowListAndReadS3ActionOnMyBucket",
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket-2/*",
                "arn:aws:s3:::my-bucket-2"
            ]
        }
    ]
}

Peran efgh harus memungkinkan peran profil instans abcd untuk mengasumsikannya. Untuk melakukannya, peran efgh harus memiliki kebijakan kepercayaan berikut:

Akun 222222222222 kebijakan kepercayaan peran efgh

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "efghTrustPolicy",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {"AWS": "arn:aws:iam::111111111111:role/abcd"}
        }
    ]
}

Untuk kemudian menjalankan AWS CLI perintah di akun222222222222, Anda harus memperbarui file konfigurasi CLI. Identifikasi peran efgh sebagai "profil" dan peran profil instans EC2 abcd sebagai "sumber kredensial" dalam file konfigurasi AWS CLI . Kemudian perintah CLI Anda dijalankan dengan izin peran efgh, bukan peran abcd asli.

catatan

Untuk tujuan keamanan, Anda dapat menggunakan AWS CloudTrail untuk mengaudit penggunaan peran dalam akun. Untuk membedakan antara sesi peran ketika peran digunakan oleh prinsipal yang berbeda dalam CloudTrail log, Anda dapat menggunakan nama sesi peran. Ketika AWS CLI mengambil peran atas nama pengguna seperti yang dijelaskan dalam topik ini, nama sesi peran secara otomatis dibuat sebagaiAWS-CLI-session-nnnnnnnn. Di sini, nnnnnnnn adalah bilangan bulat yang mewakili waktu dalam jangka waktu Unix (jumlah detik sejak tengah malam UTC pada 1 Januari 1970). Untuk informasi selengkapnya, lihat Referensi CloudTrail Acara di Panduan AWS CloudTrail Pengguna.

Untuk mengizinkan peran profil instans EC2 beralih ke peran lintas akun (AWS CLI)

  1. Anda tidak perlu mengonfigurasi profil CLI default. Sebagai gantinya, Anda dapat memuat kredensial dari metadata profil instans EC2. Buat profil baru untuk peran dalam file .aws/config. Contoh berikut membuat profil instancecrossaccount yang beralih ke peran efgh dalam akun 222222222222. Saat profil ini dipanggil, AWS CLI menggunakan kredensial metadata profil instans EC2 untuk meminta kredensial bagi peran tersebut. Karena itu, peran profil instans EC2 harus memiliki izin sts:AssumeRole ke peran yang ditentukan dalam role_arn.

    [profile instancecrossaccount]
role_arn = arn:aws:iam::222222222222:role/efgh
credential_source = Ec2InstanceMetadata

  2. Setelah Anda membuat profil baru, AWS CLI perintah apa pun yang menentukan parameter --profile instancecrossaccount berjalan di bawah izin yang dilampirkan ke efgh peran di akun. 222222222222

    aws s3 ls my-bucket-2 --profile instancecrossaccount

    Perintah ini berfungsi jika izin yang ditetapkan ke efgh peran memungkinkan daftar pengguna saat ini Akun AWS.

  3. Untuk kembali ke izin profil instans EC2 asli di akun 111111111111, jalankan perintah CLI tanpa parameter --profile.

Untuk informasi selengkapnya, lihat Mengasumsikan Peran dalam Panduan AWS Command Line Interface Pengguna.