Erteilen von Berechtigungen zum Erstellen von temporären Sicherheitsanmeldeinformationen - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen von Berechtigungen zum Erstellen von temporären Sicherheitsanmeldeinformationen

Standardmäßig sind IAM-Benutzer nicht berechtigt, temporäre Sicherheitsanmeldeinformationen für AWS STS Verbundbenutzersitzungen und Rollen zu erstellen. Sie müssen eine Richtlinie verwenden, um Ihren Benutzern diese Berechtigungen zu gewähren. Obwohl Sie einem Benutzer Berechtigungen direkt erteilten können, empfehlen wir dringend, die Berechtigungen einer Gruppe zu erteilen. Dadurch ist die Verwaltung der Berechtigungen wesentlich einfacher. Wenn ein Benutzer nicht mehr die berechtigten Aufgaben ausführen muss, entfernen Sie ihn einfach aus der Gruppe. Wenn diese Aufgabe von einem anderen Benutzer auszuführen ist, fügen Sie ihn der Gruppe hinzu, um die Berechtigungen zu erteilen.

Um einer IAM-Gruppe die Berechtigung zu erteilen, temporäre Sicherheitsanmeldeinformationen für AWS STS Verbundbenutzersitzungen oder -rollen zu erstellen, fügen Sie eine Richtlinie hinzu, die eine oder beide der folgenden Rechte gewährt:

  • Damit OIDC- und SAML-Verbundprinzipale auf eine IAM-Rolle zugreifen können, gewähren Sie Zugriff auf. AWS STS AssumeRole

  • Gewähren Sie AWS STS Verbundbenutzern, die keine Rolle benötigen, Zugriff auf. AWS STS GetFederationToken

Weitere Informationen zu den Unterschieden zwischen den API-Operationen AssumeRole und GetFederationToken finden Sie unter Temporäre Sicherheitsanmeldeinformationen anfordern.

IAM-Benutzer können auch GetSessionToken aufrufen, um temporäre Sicherheitsanmeldeinformationen zu erstellen. Für den Aufruf von GetSessionToken benötigt ein Benutzer keine Berechtigungen. Der Zweck dieser Operation besteht darin, den Benutzer mithilfe von MFA zu authentifizieren. Die Authentifizierung kann nicht über Richtlinien gesteuert werden. Dies bedeutet, dass Sie IAM-Benutzer nicht daran hindern können, zum Erstellen von temporären Anmeldeinformationen GetSessionToken aufzurufen.

Beispiel für eine Richtlinie, die die Erlaubnis zur Übernahme einer Rolle erteilt

Die folgende Beispielrichtlinie gewährt die Erlaubnis, die UpdateApp Rolle in AWS-Konto 123123123123 aufzurufenAssumeRole. Wenn AssumeRole verwendet wird, kann der Benutzer (oder die Anwendung), der die Sicherheitsanmeldeinformationen im Namen eines Verbundbenutzers erstellt, nur die explizit in der Berechtigungsrichtlinie der Rolle angegebenen Berechtigungen delegieren. 

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::123123123123:role/UpdateAPP"
  }]
}
Beispielrichtlinie, die die Erlaubnis zum Erstellen temporärer Sicherheitsnachweise für einen Verbundbenutzer erteilt

Die folgende Beispielrichtlinie zeigt, wie Sie die Zugriffsberechtigung für GetFederationToken erteilen.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:GetFederationToken",
    "Resource": "*"
  }]
}
Wichtig

Wenn Sie IAM-Benutzern die Erlaubnis erteilen, temporäre Sicherheitsanmeldeinformationen für AWS STS Verbundbenutzer mit zu erstellenGetFederationToken, sollten Sie bedenken, dass diese Benutzer dadurch ihre eigenen Berechtigungen delegieren können. Weitere Informationen zum Delegieren von Berechtigungen zwischen IAM-Benutzern und finden Sie unter. AWS-KontenBeispiele für Richtlinien zum Delegieren des Zugriffs Weitere Informationen zum Steuern von Berechtigungen in temporären Sicherheitsanmeldeinformationen finden Sie unter Berechtigungen für temporäre Sicherheits-Anmeldeinformationen.

Beispielrichtlinie, die einem Benutzer die eingeschränkte Berechtigung erteilt, temporäre Sicherheitsnachweise für Benutzer im Verbund zu erstellen

Wenn Sie einem IAM-Benutzer ermöglichen, GetFederationToken aufzurufen, ist es eine bewährte Methode, die Berechtigungen einzuschränken, die der IAM-Benutzer delegieren kann. Die folgende Richtlinie zeigt beispielsweise, wie ein IAM-Benutzer temporäre Sicherheitsanmeldeinformationen nur für AWS STS Verbundbenutzer erstellen kann, deren Namen mit Manager beginnen.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:GetFederationToken",
    "Resource": ["arn:aws:sts::123456789012:federated-user/Manager*"]
  }]
}