Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Scenari comuni per IAM i ruoli
Come per la maggior parte delle AWS funzionalità, in genere è possibile utilizzare un ruolo in due modi: in modo interattivo nella IAM console o a livello di codice con Tools for Windows PowerShell o. AWS CLI API
-
IAMgli utenti del tuo account che utilizzano la IAM console possono passare a un ruolo per utilizzare temporaneamente le autorizzazioni del ruolo nella console. Gli utenti abbandonano le loro autorizzazioni originali e assumono le autorizzazioni assegnate al ruolo. Quando gli utenti escono dal ruolo, le autorizzazioni originali vengono ripristinate.
-
Un'applicazione o un servizio offerto da AWS (come AmazonEC2) può assumere un ruolo richiedendo credenziali di sicurezza temporanee per un ruolo a cui effettuare richieste programmatiche. AWS Utilizzi un ruolo in questo modo in modo da non dover condividere o mantenere credenziali di sicurezza a lungo termine (ad esempio, creando un IAM utente) per ogni entità che richiede l'accesso a una risorsa.
Nota
In questa guida le frasi passare a un ruolo e assumere un ruolo vengono utilizzate in modo intercambiabile.
Il modo più semplice per utilizzare i ruoli consiste nel concedere IAM agli utenti le autorizzazioni per passare a ruoli che crei all'interno del tuo o di un altro. Account AWS Possono cambiare ruolo facilmente utilizzando la IAM console per utilizzare autorizzazioni che normalmente non desideri che abbiano, e quindi abbandonare il ruolo per rinunciare a tali autorizzazioni. Ciò può aiutare a impedire l'accesso accidentale alle risorse sensibili o la loro modifica.
Per usi più complessi dei ruoli, come la concessione dell'accesso ad applicazioni e servizi, o agli utenti esterni federati, puoi chiamare il. AssumeRole API Questa API chiamata restituisce un set di credenziali temporanee che l'applicazione può utilizzare nelle chiamate successive. API Le operazioni tentate con le credenziali temporanee dispongono solo delle autorizzazioni concesse dal ruolo associato. Un'applicazione non deve "uscire" dal ruolo nello stesso modo di un utente nella console, ma l'applicazione smette semplicemente di utilizzare le credenziali temporanee e riprende le chiamate con le credenziali originali.
Gli utenti federati accedono utilizzando le credenziali di un provider di identità (IdP). AWS fornisce quindi credenziali temporanee all'IdP affidabile da trasmettere all'utente per includerle nelle AWS successive richieste di risorse. Queste credenziali forniscono le autorizzazioni concesse al ruolo assegnato.
Questa sezione fornisce una panoramica dei seguenti scenari:
