Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Assumi un ruolo con AWS credenziali
Assumere un ruolo implica l'utilizzo di un set di credenziali di sicurezza temporanee per accedere a AWS risorse a cui altrimenti non avreste accesso. Le credenziali temporanee sono costituite da un ID chiave di accesso, una chiave di accesso segreta e un token di sicurezza. Per ulteriori informazioni sulle API richieste AWS Security Token Service (AWS STS), consulta Azioni nel AWS Security Token Service API riferimento.
Per configurare il tuo strumento SDK o il tuo strumento per assumere un ruolo, devi prima creare o identificare un ruolo specifico da assumere. IAMi ruoli sono identificati in modo univoco da un ruolo Amazon Resource Name (ARN). I ruoli stabiliscono relazioni di fiducia con un'altra entità. L'entità affidabile che utilizza il ruolo potrebbe essere una Servizio AWS o un'altra Account AWS. Per ulteriori informazioni sui IAM ruoli, consulta Uso IAM dei ruoli nella Guida IAM per l'utente.
Dopo aver identificato il IAM ruolo, se quel ruolo ti affida la fiducia, puoi configurare il tuo strumento SDK o lo strumento in modo che utilizzi le autorizzazioni concesse dal ruolo.
Nota
È consigliabile utilizzare gli endpoint regionali ogni volta che è possibile e configurare i propri. AWS Regione AWS
Assumi un ruolo IAM
Quando assume un ruolo, AWS STS restituisce un set di credenziali di sicurezza temporanee. Queste credenziali provengono da un altro profilo o dall'istanza o dal contenitore in cui è in esecuzione il codice. In genere, questo tipo di assunzione di un ruolo viene utilizzato quando si dispone delle AWS credenziali per un account, ma l'applicazione deve accedere alle risorse di un altro account.
Fase 1: Impostare un ruolo IAM
Per configurare il proprio SDK strumento per assumere un ruolo, è necessario innanzitutto creare o identificare un ruolo specifico da assumere. IAMi ruoli vengono identificati in modo univoco utilizzando un ruolo ARN. I ruoli stabiliscono relazioni di fiducia con un'altra entità, in genere all'interno dell'account o per l'accesso tra account. Per configurarlo, consulta Creazione di IAM ruoli nella Guida per l'IAMutente.
Fase 2: Configurare lo strumento SDK or
Configura lo strumento SDK or per ottenere le credenziali da credential_source osource_profile.
credential_sourceUtilizzalo per ottenere credenziali da un ECS contenitore Amazon, un'EC2istanza Amazon o da variabili di ambiente.
Utilizza source_profile per ottenere credenziali da un altro profilo. source_profilesupporta anche il concatenamento dei ruoli, ossia gerarchie di profili in cui un ruolo assunto viene poi utilizzato per assumere un altro ruolo.
Quando lo specificate in un profilo, lo strumento SDK o effettua automaticamente la AWS STS AssumeRoleAPIchiamata corrispondente per voi. Per recuperare e utilizzare credenziali temporanee assumendo un ruolo, specificate i seguenti valori di configurazione nel file condiviso. AWS config Per maggiori dettagli su ciascuna di queste impostazioni, consulta la sezione. Assumi le impostazioni del fornitore di credenziali di ruolo
-
role_arn- Dal IAM ruolo che hai creato nella fase 1 -
Configura uno
source_profileocredential_source -
(Opzionale)
duration_seconds -
(Opzionale)
external_id -
(Opzionale)
mfa_serial -
(Opzionale)
role_session_name
Gli esempi seguenti mostrano la configurazione di entrambe le opzioni di assunzione del ruolo in un config file condiviso:
role_arn = arn:aws:iam::123456789012:role/my-role-namesource_profile =profile-name-with-user-that-can-assume-role
role_arn = arn:aws:iam::123456789012:role/my-role-namecredential_source =Ec2InstanceMetadata
Per i dettagli su tutte le impostazioni del provider di credenziali di assunzione del ruolo, Assumi il ruolo di fornitore di credenziali consulta questa guida.
