Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come per la maggior parte delle funzionalità di AWS, in genere puoi utilizzare un ruolo in due modi: in modo interattivo nella console IAM o a livello programmatico con la AWS CLI, Tools for Windows PowerShell o l'API.
-
Gli utenti IAM nell'account che utilizza la console IAM possono passare a un ruolo per utilizzare temporaneamente le autorizzazioni del ruolo nella console. Gli utenti abbandonano le loro autorizzazioni originali e assumono le autorizzazioni assegnate al ruolo. Quando gli utenti escono dal ruolo, le autorizzazioni originali vengono ripristinate.
-
Un'applicazione o un servizio offerti da AWS (come Amazon EC2) possono assumere un ruolo richiedendo le credenziali di sicurezza provvisorie per un ruolo con il quale effettuare richieste programmatiche ad AWS. È possibile utilizzare un ruolo in questo modo per non dover condividere o gestire le credenziali di sicurezza a lungo termine (ad esempio creando un utente IAM) per ogni entità che richiede l'accesso a una risorsa.
Nota
In questa guida le frasi passare a un ruolo e assumere un ruolo vengono utilizzate in modo intercambiabile.
Il modo più semplice per utilizzare i ruoli è quello di concedere agli utenti IAM le autorizzazioni per passare ai ruoli creati da te all'interno del tuo o di un altro Account AWS. È possibile passare da un ruolo all'altro facilmente utilizzando la console IAM per utilizzare le autorizzazioni che non si desidera abbiano normalmente e uscire dal ruolo per cedere a tali autorizzazioni. Ciò può aiutare a impedire l'accesso accidentale alle risorse sensibili o la loro modifica.
Per utilizzi più complessi di ruoli, ad esempio la concessione di accesso alle applicazioni e servizi, o gli utenti federati esterni, è possibile richiamare l'API AssumeRole
. Questa chiamata API restituisce un set di credenziali temporanee che l'applicazione può utilizzare in successive chiamate API. Le operazioni tentate con le credenziali temporanee dispongono solo delle autorizzazioni concesse dal ruolo associato. Un'applicazione non deve "uscire" dal ruolo nello stesso modo di un utente nella console, ma l'applicazione smette semplicemente di utilizzare le credenziali temporanee e riprende le chiamate con le credenziali originali.
Gli utenti federati effettuano l'accesso utilizzando le credenziali di un provider di identità (IdP). AWS fornisce quindi le credenziali provvisorie al provider di identità attendibile da inoltrare all'utente per l'inclusione nelle successive richieste di risorse AWS. Queste credenziali forniscono le autorizzazioni concesse al ruolo assegnato.
Questa sezione fornisce una panoramica dei seguenti scenari: