Asumsikan peran dengan AWS kredensional - AWS SDKs dan Alat
Asumsikan IAM peran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Asumsikan peran dengan AWS kredensional

Dengan asumsi peran melibatkan penggunaan seperangkat kredenal keamanan sementara untuk mengakses AWS sumber daya yang mungkin tidak dapat Anda akses sebaliknya. Kredensial sementara ini terdiri dari access key ID, secret access key, dan token keamanan. Untuk mempelajari lebih lanjut tentang AWS Security Token Service (AWS STS) API permintaan, lihat Tindakan dalam AWS Security Token Service APIReferensi.

Untuk mengatur SDK atau alat Anda untuk mengambil peran, Anda harus terlebih dahulu membuat atau mengidentifikasi peran tertentu untuk diasumsikan. IAMperan diidentifikasi secara unik oleh peran Amazon Resource Name () ARN. Peran membangun hubungan kepercayaan dengan entitas lain. Entitas tepercaya yang menggunakan peran tersebut mungkin satu Layanan AWS atau lainnya Akun AWS. Untuk mempelajari lebih lanjut tentang IAM peran, lihat Menggunakan IAM peran di Panduan IAM Pengguna.

Setelah IAM peran diidentifikasi, jika Anda dipercaya oleh peran tersebut, Anda dapat mengonfigurasi SDK atau alat untuk menggunakan izin yang diberikan oleh peran tersebut.

catatan

Ini adalah praktik AWS terbaik untuk menggunakan titik akhir Regional bila memungkinkan dan untuk mengkonfigurasi AndaWilayah AWS.

Asumsikan IAM peran

Saat mengasumsikan peran, AWS STS mengembalikan satu set kredensi keamanan sementara. Kredensi ini bersumber dari profil lain atau dari instance atau wadah tempat kode Anda berjalan. Paling umum jenis asumsi peran ini digunakan ketika Anda memiliki AWS kredensi untuk satu akun, tetapi aplikasi Anda memerlukan akses ke sumber daya di akun lain.

Langkah 1: Siapkan IAM peran

Untuk mengatur SDK atau alat Anda untuk mengambil peran, Anda harus terlebih dahulu membuat atau mengidentifikasi peran tertentu untuk diasumsikan. IAMperan diidentifikasi secara unik menggunakan peran. ARN Peran membangun hubungan kepercayaan dengan entitas lain, biasanya di dalam akun Anda atau untuk akses lintas akun. Untuk mengatur ini, lihat Membuat IAM peran di Panduan IAM Pengguna.

Langkah 2: Konfigurasikan alat SDK atau

Konfigurasikan alat SDK atau untuk sumber kredensional dari credential_source atau. source_profile

Gunakan credential_source untuk sumber kredensional dari ECS wadah Amazon, EC2 instans Amazon, atau dari variabel lingkungan.

Gunakan source_profile untuk sumber kredensional dari profil lain. source_profilejuga mendukung rantai peran, yang merupakan hierarki profil di mana peran yang diasumsikan kemudian digunakan untuk mengambil peran lain.

Saat Anda menentukan ini di profil, alat SDK atau secara otomatis membuat AWS STS AssumeRoleAPIpanggilan yang sesuai untuk Anda. Untuk mengambil dan menggunakan kredenal sementara dengan mengasumsikan peran, tentukan nilai konfigurasi berikut dalam file bersama. AWS config Untuk detail selengkapnya tentang masing-masing pengaturan ini, lihat Asumsikan pengaturan penyedia kredensi peran bagian.

  • role_arn- Dari IAM peran yang Anda buat di Langkah 1

  • Konfigurasikan salah satu source_profile atau credential_source

  • (Opsional) duration_seconds

  • (Opsional) external_id

  • (Opsional) mfa_serial

  • (Opsional) role_session_name

Contoh berikut menunjukkan konfigurasi kedua opsi peran asumsi dalam config file bersama:

role_arn = arn:aws:iam::123456789012:role/my-role-name
source_profile = profile-name-with-user-that-can-assume-role
role_arn = arn:aws:iam::123456789012:role/my-role-name
credential_source = Ec2InstanceMetadata

Untuk detail tentang semua pengaturan penyedia kredensi peran asumsi, lihat Asumsikan penyedia kredensi peran di panduan ini.