Asumsikan pengaturan penyedia kredensi peran Support oleh AWS SDKs dan alat

Asumsikan penyedia kredensi peran

catatan

Untuk bantuan dalam memahami tata letak halaman pengaturan, atau dalam menafsirkan tabel Support by AWS SDKs and tools berikut, lihatMemahami halaman pengaturan panduan ini.

Dengan asumsi peran melibatkan penggunaan seperangkat kredensil keamanan sementara untuk mengakses AWS sumber daya yang mungkin tidak dapat Anda akses sebaliknya. Kredensial sementara ini terdiri dari access key ID, secret access key, dan token keamanan.

Untuk menyiapkan SDK atau alat untuk mengambil peran, Anda harus terlebih dahulu membuat atau mengidentifikasi peran tertentu yang akan diambil. Peran IAM diidentifikasi secara unik oleh peran Amazon Resource Name (ARN). Peran membangun hubungan kepercayaan dengan entitas lain. Entitas tepercaya yang menggunakan peran tersebut mungkin Layanan AWS, yang lain Akun AWS, penyedia identitas web atau OIDC, atau federasi SAFL.

Setelah peran IAM diidentifikasi, jika Anda dipercaya oleh peran tersebut, Anda dapat mengonfigurasi SDK atau alat untuk menggunakan izin yang diberikan oleh peran tersebut. Untuk melakukan ini, gunakan pengaturan berikut.

Untuk panduan tentang mulai menggunakan pengaturan ini, lihat Dengan asumsi peran dengan AWS kredensi untuk mengautentikasi dan alat AWS SDKs di panduan ini.

Asumsikan pengaturan penyedia kredensi peran

Konfigurasikan fungsi ini dengan menggunakan yang berikut:

credential_source- Pengaturan AWS config file bersama

Digunakan dalam EC2 instans Amazon atau penampung Amazon Elastic Container Service untuk menentukan tempat SDK atau alat dapat menemukan kredenal yang memiliki izin untuk mengambil peran yang Anda tentukan dengan parameter. role_arn

Nilai default: Tidak ada

Nilai yang valid:

Lingkungan - Menentukan bahwa SDK atau alat adalah untuk mengambil kredenal sumber dari variabel lingkungan dan. AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY
Ec2 InstanceMetadata - Menentukan bahwa SDK atau alat adalah menggunakan peran IAM yang dilampirkan ke profil EC2 instance untuk mendapatkan kredensi sumber.
EcsContainer— Menentukan bahwa SDK atau alat adalah menggunakan peran IAM yang dilampirkan ke wadah ECS untuk mendapatkan kredensi sumber.

Anda tidak dapat menentukan keduanya credential_source dan source_profile di profil yang sama.

Contoh pengaturan ini dalam config file untuk menunjukkan bahwa kredensil harus bersumber dari Amazon: EC2


credential_source = Ec2InstanceMetadata
role_arn = arn:aws:iam::123456789012:role/my-role-name

duration_seconds- Pengaturan AWS config file bersama

Menentukan durasi maksimum sesi peran, dalam hitungan detik.

Pengaturan ini hanya berlaku ketika profil menentukan untuk mengambil peran.

Nilai default: 3600 detik (satu jam)

Nilai yang valid: Nilai dapat berkisar dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum yang dikonfigurasi untuk peran (yang bisa maksimal 43200 detik, atau 12 jam). Untuk informasi selengkapnya, lihat Melihat Pengaturan Durasi Sesi Maksimum untuk Peran di Panduan Pengguna IAM.

Contoh pengaturan ini dalam config file:


duration_seconds = 43200

external_id- Pengaturan AWS config file bersama

Menentukan pengenal unik yang digunakan oleh pihak ketiga untuk mengambil peran dalam akun pelanggan mereka.

Setelan ini hanya berlaku jika profil menetapkan untuk mengambil peran dan kebijakan kepercayaan untuk peran tersebut memerlukan nilai untukExternalId. Nilai memetakan ke ExternalId parameter yang diteruskan ke AssumeRole operasi saat profil menentukan peran.

Nilai default: Tidak ada.

Nilai yang valid: Lihat Cara menggunakan ID Eksternal Saat Memberikan Akses ke AWS Sumber Daya Anda kepada Pihak Ketiga dalam Panduan Pengguna IAM.

Contoh pengaturan ini dalam config file:


external_id = unique_value_assigned_by_3rd_party

mfa_serial- Pengaturan AWS config file bersama

Menentukan identifikasi atau nomor seri perangkat otentikasi multi-faktor (MFA) yang harus digunakan pengguna saat mengambil peran.

Diperlukan saat mengasumsikan peran di mana kebijakan kepercayaan untuk peran itu mencakup kondisi yang memerlukan otentikasi MFA. Untuk informasi selengkapnya tentang MFA, lihat Autentikasi AWS multi-faktor di IAM di Panduan Pengguna IAM.

Nilai default: Tidak ada.

Nilai yang valid: Nilai dapat berupa nomor seri untuk perangkat keras (sepertiGAHT12345678), atau Nama Sumber Daya Amazon (ARN) untuk perangkat MFA virtual. Format ARN adalah: arn:aws:iam::account-id:mfa/mfa-device-name

Contoh pengaturan ini dalam config file:

Contoh ini mengasumsikan perangkat MFA virtual, yang MyMFADevice disebut, yang telah dibuat untuk akun dan diaktifkan untuk pengguna.


mfa_serial = arn:aws:iam::123456789012:mfa/MyMFADevice

role_arn- Pengaturan AWS config file bersama

AWS_ROLE_ARN- variabel lingkungan

aws.roleArn- Properti sistem JVM: Hanya Java/Kotlin

Menentukan Nama Sumber Daya Amazon (ARN) peran IAM yang ingin Anda gunakan untuk melakukan operasi yang diminta menggunakan profil ini.

Nilai default: Tidak ada.

Nilai yang valid: Nilai harus ARN dari peran IAM, diformat sebagai berikut: arn:aws:iam::account-id:role/role-name

Selain itu, Anda juga harus menentukan salah satu pengaturan berikut:

source_profile— Untuk mengidentifikasi profil lain yang akan digunakan untuk menemukan kredensil yang memiliki izin untuk mengambil peran dalam profil ini.
credential_source— Untuk menggunakan kredenal yang diidentifikasi oleh variabel lingkungan saat ini atau kredenal yang dilampirkan ke profil EC2 instans Amazon, atau instans penampung Amazon ECS.
web_identity_token_fileUntuk menggunakan penyedia identitas publik atau penyedia identitas yang kompatibel dengan OpenID Connect (OIDC) untuk pengguna yang telah diautentikasi dalam aplikasi seluler atau web.

role_session_name- Pengaturan AWS config file bersama

AWS_ROLE_SESSION_NAME- variabel lingkungan

aws.roleSessionName- Properti sistem JVM: Hanya Java/Kotlin

Menentukan nama untuk melampirkan ke sesi peran. Nama ini muncul di AWS CloudTrail log untuk entri yang terkait dengan sesi ini, yang dapat berguna saat mengaudit. Untuk detailnya, lihat elemen CloudTrail UserIdentity di AWS CloudTrail Panduan Pengguna.

Nilai default: Parameter opsional. Jika Anda tidak memberikan nilai ini, nama sesi akan dibuat secara otomatis jika profil mengambil peran.

Nilai yang valid: Disediakan untuk RoleSessionName parameter saat AWS API AWS CLI atau memanggil AssumeRole operasi (atau operasi seperti AssumeRoleWithWebIdentity operasi) atas nama Anda. Nilai menjadi bagian dari pengguna peran yang diasumsikan Amazon Resource Name (ARN) yang dapat Anda kueri, dan muncul sebagai bagian dari entri CloudTrail log untuk operasi yang dipanggil oleh profil ini.

arn:aws:sts::123456789012:assumed-role/my-role-name/my-role_session_name.

Contoh pengaturan ini dalam config file:


role_session_name = my-role-session-name

source_profile- Pengaturan AWS config file bersama

Menentukan profil lain yang kredensialnya digunakan untuk mengambil peran yang ditentukan oleh role_arn pengaturan di profil asli. Untuk memahami bagaimana profil digunakan dalam file bersama AWS config dan credentials file, lihatBerbagi config dan credentials file.

Jika Anda menentukan profil yang juga merupakan profil peran asumsi, setiap peran akan diasumsikan secara berurutan untuk menyelesaikan kredensialnya sepenuhnya. Rantai ini dihentikan saat SDK menemukan profil dengan kredensil. Role chaining membatasi sesi peran Anda AWS CLI atau AWS API hingga maksimal satu jam dan tidak dapat ditingkatkan. Untuk informasi selengkapnya, lihat Istilah dan konsep peran dalam Panduan Pengguna IAM.

Nilai default: Tidak ada.

Nilai yang valid: String teks yang terdiri dari nama profil yang ditentukan dalam credentials file config dan. Anda juga harus menentukan nilai untuk role_arn di profil saat ini.

Anda tidak dapat menentukan keduanya credential_source dan source_profile di profil yang sama.

Contoh pengaturan ini dalam file konfigurasi:


[profile A]
source_profile = B
role_arn =  arn:aws:iam::123456789012:role/RoleA
role_session_name = ProfileARoleSession
                
[profile B]
credential_process = ./aws_signing_helper credential-process --certificate /path/to/certificate --private-key /path/to/private-key --trust-anchor-arn arn:aws:rolesanywhere:region:account:trust-anchor/TA_ID --profile-arn arn:aws:rolesanywhere:region:account:profile/PROFILE_ID --role-arn arn:aws:iam::account:role/ROLE_ID

Pada contoh sebelumnya, A profil memberi tahu SDK atau alat untuk secara otomatis mencari kredensil untuk profil yang ditautkan. B Dalam hal ini, B profil menggunakan alat bantu kredenal yang disediakan oleh Menggunakan Peran IAM Di Mana Saja untuk mengautentikasi dan AWS SDKs alat untuk mendapatkan kredensil untuk SDK. AWS Kredensi sementara tersebut kemudian digunakan oleh kode Anda untuk mengakses AWS sumber daya. Peran yang ditentukan harus memiliki kebijakan izin IAM yang dilampirkan yang memungkinkan kode yang diminta berjalan, seperti perintah Layanan AWS, atau metode API. Setiap tindakan yang diambil oleh profil A memiliki nama sesi peran yang disertakan dalam CloudTrail log.

Untuk contoh rantai peran kedua, konfigurasi berikut dapat digunakan jika Anda memiliki aplikasi di instans Amazon Elastic Compute Cloud, dan Anda ingin aplikasi tersebut mengambil peran lain.


[profile A]
source_profile = B
role_arn =  arn:aws:iam::123456789012:role/RoleA
role_session_name = ProfileARoleSession
                
[profile B]
credential_source=Ec2InstanceMetadata

Profil A akan menggunakan kredensil dari EC2 instans Amazon untuk mengambil peran yang ditentukan dan akan memperbarui kredensialnya secara otomatis.

web_identity_token_file- Pengaturan AWS config file bersama

AWS_WEB_IDENTITY_TOKEN_FILE- variabel lingkungan

aws.webIdentityTokenFile- Properti sistem JVM: Hanya Java/Kotlin

Menentukan path ke file yang berisi token akses dari penyedia OAuth 2.0 yang didukung atau penyedia identitas OpenID Connect ID.

Pengaturan ini memungkinkan otentikasi dengan menggunakan penyedia federasi identitas web, seperti Google, Facebook, dan Amazon, di antara banyak lainnya. SDK atau alat pengembang memuat konten file ini dan meneruskannya sebagai WebIdentityToken argumen saat memanggil AssumeRoleWithWebIdentity operasi atas nama Anda.

Nilai default: Tidak ada.

Nilai yang valid: Nilai ini harus berupa jalur dan nama file. File harus berisi token akses OAuth 2.0 atau token OpenID Connect yang diberikan kepada Anda oleh penyedia identitas. Jalur relatif diperlakukan sebagai relatif terhadap direktori kerja proses.

Support oleh AWS SDKs dan alat

Berikut ini SDKs mendukung fitur dan pengaturan yang dijelaskan dalam topik ini. Setiap pengecualian sebagian dicatat. Setiap pengaturan properti sistem JVM didukung oleh AWS SDK untuk Java dan satu-satunya. AWS SDK for Kotlin

SDK	Didukung	Catatan atau informasi lebih lanjut
AWS CLI v2	Ya
SDK for C++	Parsial	`credential_source`tidak didukung. `duration_seconds`tidak didukung. `mfa_serial`tidak didukung.
SDK for Go V2 (1.x)	Ya
SDK for Go 1.x (V1)	Ya	Untuk menggunakan pengaturan `config` file bersama, Anda harus mengaktifkan pemuatan dari file konfigurasi; lihat Sesi.
SDK for Java 2.x	Parsial	`mfa_serial`tidak didukung. `duration_seconds`tidak didukung.
SDK for Java 1.x	Parsial	`credential_source`tidak didukung. `mfa_serial`tidak didukung. Properti sistem JVM tidak didukung.
SDK untuk 3.x JavaScript	Ya
SDK untuk 2.x JavaScript	Parsial	`credential_source`tidak didukung.
SDK para Kotlin	Ya
SDK for .NET 3.x	Ya
SDK for PHP 3.x	Ya
SDK untuk Python (Boto3)	Ya
SDK for Ruby 3.x	Ya
SDK untuk Rust	Ya
SDK para Swift	Ya
Alat untuk PowerShell	Ya

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS kunci akses

Penyedia kontainer