Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Beralih ke peran IAM ()AWS CLI
Peran menentukan serangkaian izin yang dapat Anda gunakan untuk mengakses sumber daya AWS yang Anda perlukan. Dalam hal ini, ini mirip dengan pengguna di AWS Identity and Access Management (IAM). Saat Anda masuk sebagai pengguna, Anda mendapatkan serangkaian izin tertentu. Namun, Anda tidak masuk ke sebuah peran, tetapi setelah masuk sebagai pengguna, Anda dapat beralih ke sebuah peran. Sementara waktu ini mengesampingkan izin pengguna awal Anda dan justru memberikan izin yang ditetapkan untuk peran. Perannya bisa di akun Anda sendiri atau lainnya Akun AWS. Untuk informasi lebih lanjut tentang peran, keuntungannya, dan cara membuatnya, lihat Peran IAM, dan Membuat Peran IAM. Untuk mempelajari tentang berbagai metode yang dapat Anda gunakan untuk mengasumsikan peran, lihat Menggunakan peran IAM.
penting
Izin pengguna IAM Anda dan peran apa pun yang Anda asumsikan tidak bersifat kumulatif. Hanya satu rangkaian izin yang aktif pada satu waktu. Saat Anda mengasumsikan suatu peran, sementara waktu Anda meninggalkan izin pengguna dan bekerja dengan izin yang ditetapkan ke peran tersebut. Saat Anda keluar dari peran, izin pengguna asli Anda dipulihkan secara otomatis.
Anda dapat menggunakan peran untuk menjalankan AWS CLI perintah saat Anda masuk sebagai pengguna IAM. Anda juga dapat menggunakan peran untuk menjalankan AWS CLI perintah ketika Anda masuk sebagai pengguna yang diautentikasi secara eksternal (SALL atau OIDC) yang sudah menggunakan peran. Selain itu, Anda dapat menggunakan peran untuk menjalankan AWS CLI perintah dari dalam instans Amazon EC2 yang dilampirkan ke peran melalui profil instance-nya. Anda tidak dapat mengambil peran saat masuk sebagai Pengguna root akun AWS.
Rantai peran — Anda juga dapat menggunakan rantai peran, yang menggunakan izin dari peran untuk mengakses peran kedua.
Secara default, sesi peran Anda berlangsung selama satu jam. Saat Anda mengasumsikan peran dengan menggunakan assume-role*
operasi CLI, Anda dapat menentukan nilai untuk parameter duration-seconds
. Nilai ini dapat berkisar dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran tersebut. Jika Anda beralih peran di konsol, durasi sesi Anda dibatasi hingga maksimal satu jam. Untuk mempelajari cara melihat nilai maksimum untuk peran Anda, lihat Lihat pengaturan durasi sesi maksimum untuk peran.
Saat Anda menggunakan rantai peran, kredensial baru Anda dibatasi hingga durasi maksimum satu jam. Jika Anda kemudian menggunakan parameter duration-seconds
untuk memberikan nilai lebih dari satu jam, operasi gagal.
Skenario contoh: Beralih ke peran produksi
Bayangkan bahwa Anda adalah pengguna IAM untuk bekerja di lingkungan pengembangan. Dalam skenario ini, Anda terkadang perlu bekerja dengan lingkungan produksi pada baris perintah dengan AWS CLI
catatan
Untuk tujuan keamanan, administrator dapat meninjau AWS CloudTrail log untuk mengetahui siapa yang melakukan tindakan. AWS Administrator Anda mungkin akan meminta Anda menentukan identitas sumber atau nama sesi peran ketika Anda mengambil peran tersebut. Untuk informasi selengkapnya, lihat sts:SourceIdentity dan sts:RoleSessionName.
Untuk beralih ke peran produksi (AWS CLI)
-
Jika Anda belum pernah menggunakan AWS CLI, maka Anda harus terlebih dahulu mengkonfigurasi profil CLI default Anda. Buka prompt perintah dan atur AWS CLI instalasi Anda untuk menggunakan kunci akses dari pengguna IAM Anda atau dari peran federasi Anda. Untuk informasi lebih lanjut, lihat Mengonfigurasi AWS Command Line Interface di Panduan Pengguna AWS Command Line Interface .
Jalankan perintah aws configure sebagai berikut:
aws configure
Saat diminta, berikan informasi berikut:
AWS Access Key ID [None]:
AWS Secret Access Key [None]:AKIAIOSFODNN7EXAMPLE
Default region name [None]:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default output format [None]:us-east-2
json
-
Buat profil baru untuk peran dalam
.aws/config
file dalam Unix atau Linux, atauC:\Users\USERNAME\.aws\config
file dalam Windows. Contoh berikut membuat sebuah profil bernamaprodaccess
yang beralih ke peran
dalam akunProductionAccessRole
123456789012
. Anda mendapatkan peran ARN dari administrator akun yang membuat peran tersebut. Ketika profil ini dipanggil, akan AWS CLI menggunakan kredensilsource_profile
untuk meminta kredensil untuk peran tersebut. Oleh karena itu, identitas direferensikan karenasource_profile
harus memiliki izinsts:AssumeRole
untuk peran yang ditentukan dalamrole_arn
.[profile prodaccess] role_arn = arn:aws:iam::
123456789012
:role/ProductionAccessRole source_profile = default -
Setelah Anda membuat profil baru, AWS CLI perintah apa pun yang menentukan parameter
--profile prodaccess
berjalan di bawah izin yang dilampirkan ke peran IAM,ProductionAccessRole
bukan pengguna default.aws iam list-users --profile prodaccess
Perintah ini berfungsi jika izin yang ditetapkan ke
ProductionAccessRole
mengaktifkan pencatuman pengguna di akun AWS saat ini. -
Untuk kembali ke izin yang diberikan oleh kredensial asli Anda, jalankan perintah tanpa parameter
--profile
. AWS CLI Kembali menggunakan kredensil di profil default Anda, yang Anda konfigurasikan. Tahap 1
Untuk informasi selengkapnya, lihat Mengasumsikan Peran dalam Panduan AWS Command Line Interface Pengguna.
Skenario contoh: Menginzinkan peran profil instans untuk beralih ke peran dalam akun lain
Bayangkan Anda menggunakan dua Akun AWS, dan Anda ingin mengizinkan aplikasi yang berjalan pada instans Amazon EC2 untuk menjalankan AWS CLI111111111111
. Instance tersebut menyertakan peran profil abcd
instance yang memungkinkan aplikasi melakukan tugas Amazon S3 hanya-baca di bucket dalam akun my-bucket-1
yang sama. 111111111111
Namun, aplikasi tersebut juga harus diizinkan untuk mengambil peran lintas akun efgh
untuk melakukan tugas di akun 222222222222
. Untuk melakukannya, peran profil instans EC2 abcd
harus memiliki kebijakan izin berikut:
Kebijakan izin peran akun 1111111111 abcd
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccountLevelS3Actions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetAccountPublicAccessBlock", "s3:ListAccessPoints", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "AllowListAndReadS3ActionOnMyBucket", "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::my-bucket-1/*", "arn:aws:s3:::my-bucket-1" ] }, { "Sid": "AllowIPToAssumeCrossAccountRole", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::222222222222:role/efgh" } ] }
Anggap bahwa efgh
peran lintas akun memungkinkan tugas Amazon S3 hanya baca di bucket my-bucket-2
dengan akun 222222222222
yang sama. Untuk melakukannya, peran lintas akun efgh
harus memiliki kebijakan izin berikut:
Kebijakan izin peran akun 2222222222 efgh
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccountLevelS3Actions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetAccountPublicAccessBlock", "s3:ListAccessPoints", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "AllowListAndReadS3ActionOnMyBucket", "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::my-bucket-2/*", "arn:aws:s3:::my-bucket-2" ] } ] }
Peran efgh
harus memungkinkan peran profil instans abcd
untuk mengasumsikannya. Untuk melakukannya, peran efgh
harus memiliki kebijakan kepercayaan berikut:
Akun 222222222222 kebijakan kepercayaan peran efgh
{ "Version": "2012-10-17", "Statement": [ { "Sid": "efghTrustPolicy", "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": {"AWS": "arn:aws:iam::111111111111:role/abcd"} } ] }
Untuk kemudian menjalankan AWS CLI perintah di akun222222222222
, Anda harus memperbarui file konfigurasi CLI. Identifikasi peran efgh
sebagai "profil" dan peran profil instans EC2 abcd
sebagai "sumber kredensial" dalam file konfigurasi AWS CLI
. Kemudian perintah CLI Anda dijalankan dengan izin peran efgh
, bukan peran abcd
asli.
catatan
Untuk tujuan keamanan, Anda dapat menggunakan AWS CloudTrail untuk mengaudit penggunaan peran dalam akun. Untuk membedakan antara sesi peran ketika peran digunakan oleh prinsipal yang berbeda dalam CloudTrail log, Anda dapat menggunakan nama sesi peran. Ketika AWS CLI mengambil peran atas nama pengguna seperti yang dijelaskan dalam topik ini, nama sesi peran secara otomatis dibuat sebagaiAWS-CLI-session-
. Di sini, nnnnnnnn
nnnnnnnn
adalah bilangan bulat yang mewakili waktu dalam jangka waktu Unix
Untuk mengizinkan peran profil instans EC2 beralih ke peran lintas akun (AWS CLI)
-
Anda tidak perlu mengonfigurasi profil CLI default. Sebagai gantinya, Anda dapat memuat kredensial dari metadata profil instans EC2. Buat profil baru untuk peran dalam file
.aws/config
. Contoh berikut membuat profilinstancecrossaccount
yang beralih ke peran
dalam akunefgh
222222222222
. Saat profil ini dipanggil, AWS CLI menggunakan kredensial metadata profil instans EC2 untuk meminta kredensial bagi peran tersebut. Karena itu, peran profil instans EC2 harus memiliki izinsts:AssumeRole
ke peran yang ditentukan dalamrole_arn
.[profile instancecrossaccount] role_arn = arn:aws:iam::
222222222222
:role/efgh credential_source = Ec2InstanceMetadata -
Setelah Anda membuat profil baru, AWS CLI perintah apa pun yang menentukan parameter
--profile instancecrossaccount
berjalan di bawah izin yang dilampirkan keefgh
peran di akun.222222222222
aws s3 ls my-bucket-2 --profile instancecrossaccount
Perintah ini berfungsi jika izin yang ditetapkan ke
efgh
peran memungkinkan daftar pengguna saat ini Akun AWS. -
Untuk kembali ke izin profil instans EC2 asli di akun
111111111111
, jalankan perintah CLI tanpa parameter--profile
.
Untuk informasi selengkapnya, lihat Mengasumsikan Peran dalam Panduan AWS Command Line Interface Pengguna.