Zu einer IAM-Rolle wechseln (AWS CLI) - AWS Identitäts- und Zugriffsverwaltung
Beispielszenario: Wechseln zu einer ProduktionsrolleBeispielszenario: Einer Instance-Profilrolle erlauben, zu einer Rolle in einem anderen Konto zu wechseln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zu einer IAM-Rolle wechseln (AWS CLI)

Eine Rolle legt eine Gruppe von Berechtigungen fest, die Sie für den Zugriff auf AWS -Ressourcen, die Sie benötigen, verwenden können. In dieser Hinsicht ist sie mit einem IAM-Benutzer AWS Identity and Access Management vergleichbar. Wenn Sie sich als Benutzer anmelden, erhalten Sie einen bestimmten Satz von Berechtigungen. Sie melden sich jedoch nicht bei einer Rolle an. Wenn Sie sich aber als Benutzer angemeldet haben, können Sie zu einer Rolle wechseln. Dadurch werden Ihre ursprünglichen Benutzerberechtigungen vorübergehend zurückgestellt und Sie erhalten stattdessen die der Rolle zugewiesenen Berechtigungen. Die Rolle kann sich in Ihrem eigenen Konto oder jedem anderen AWS-Konto befinden. Weitere Informationen zu Rollen, ihren Vorteilen sowie zu ihrer Erstellung und Konfiguration finden Sie unter IAM rolesund Erstellung einer IAM-Rolle. Weitere Informationen zu den unterschiedlichen Methoden, die Sie zum Übernehmen einer Rolle verwenden können, finden Sie unter Methoden, um eine Rolle zu übernehmen.

Wichtig

Die Berechtigungen Ihres IAM-Benutzers und alle Rollen, die Sie annehmen, können nicht kumuliert werden. Es ist nur jeweils ein Satz von Berechtigungen aktiv. Wenn Sie eine Rolle annehmen, geben Sie Ihre vorherigen Benutzer- oder Rollenberechtigungen temporär auf und arbeiten mit den Berechtigungen, die der Rolle zugeordnet sind. Wenn Sie die Rolle verlassen, werden Ihre Benutzerberechtigungen automatisch wiederhergestellt.

Sie können eine Rolle verwenden, um einen AWS CLI Befehl auszuführen, wenn Sie als IAM-Benutzer angemeldet sind. Sie können eine Rolle auch verwenden, um einen AWS CLI Befehl auszuführen, wenn Sie als extern authentifizierter Benutzer (SAML oder OIDC) angemeldet sind, der bereits eine Rolle verwendet. Darüber hinaus können Sie eine Rolle verwenden, um einen AWS CLI Befehl innerhalb einer EC2 Amazon-Instance auszuführen, die über ihr Instance-Profil an eine Rolle angehängt ist. Sie können keine Rolle anwenden, wenn Sie sich als Root-Benutzer des AWS-Kontos anmelden.

Verketten von Rollen – Sie können auch das Verketten von Rollen verwenden, was bedeutet, Berechtigungen einer Rolle für den Zugriff auf eine zweite Rolle zu verwenden.

Standardmäßig ist Ihre Rollensitzung eine Stunde gültig. Wenn Sie diese Rolle mithilfe der assume-role*-CLI-Operationen annehmen, können Sie einen Wert für den duration-seconds-Parameter angeben. Dieser Wert kann zwischen 900 Sekunden (15 Minuten) und der maximalen Sitzungsdauer für die Rolle liegen. Wenn Sie in der Konsole die Rollen wechseln, ist Ihre Sitzungsdauer auf maximal eine Stunde begrenzt. Weitere Informationen dazu, wie Sie den maximalen Wert für Ihre Rolle anzeigen, finden Sie unter Aktualisieren der maximalen Sitzungsdauer für eine Rolle.

Wenn Sie die Verkettung von Rollen verwenden, ist Ihre Sitzungsdauer auf die maximale Dauer von einer Stunde begrenzt. Wenn Sie den duration-seconds-Parameter verwenden, um einen Wert größer als eine Stunde anzugeben, schlägt die Operation fehl.

Beispielszenario: Wechseln zu einer Produktionsrolle

Stellen Sie sich vor, Sie sind ein IAM-Benutzer und arbeiten in der der Entwicklungsumgebung. In diesem Szenario müssen Sie gelegentlich mit der Produktionsumgebung an der Befehlszeile mit der AWS CLI arbeiten. Sie haben bereits einen Zugriffsschlüsselsatz, die Ihnen zur Verfügung steht. Dies kann das Zugriffsschlüsselpaar sein, das dem IAM-Standardbenutzer zugewiesen ist. Oder, wenn Sie sich als SAML- oder OIDC-Verbundprinzipal angemeldet haben, kann dies das Zugriffsschlüsselpaar für die Rolle sein, die Ihnen ursprünglich zugewiesen wurde. Wenn Ihre aktuellen Berechtigungen Ihnen die Möglichkeit geben, eine bestimmte IAM-Rolle anzunehmen, können Sie diese Rolle in einem „Profil“ in den Konfigurationsdateien identifizieren. AWS CLI Dieser Befehl wird dann mit den Berechtigungen der angegebenen IAM-Rolle, nicht mit der ursprünglichen Identität ausgeführt. Beachten Sie, dass Sie die neue Rolle verwenden, wenn Sie dieses Profil in einem AWS CLI Befehl angeben. In dieser Situation können Sie nicht gleichzeitig die ursprünglichen Berechtigungen im Entwicklungskonto nutzen. Der Grund besteht darin, dass zu einem bestimmten Zeitpunkt nur jeweils ein Satz Berechtigungen wirksam sein kann.

Anmerkung

Aus Sicherheitsgründen können Administratoren anhand von AWS CloudTrail Protokollen herausfinden, wer eine Aktion in ausgeführt hat AWS. Ihr Administrator erfordert möglicherweise, dass Sie einen bestimmten Wert für den Sitzungsnamen angeben, wenn Sie die Rolle übernehmen. Weitere Informationen erhalten Sie unter sts:SourceIdentity und sts:RoleSessionName.

So wechseln Sie zu einer Produktionsrolle (AWS CLI)

  1. Wenn Sie das noch nie verwendet haben AWS CLI, müssen Sie zuerst Ihr Standard-CLI-Profil konfigurieren. Öffnen Sie eine Befehlszeile und richten Sie Ihre AWS CLI Installation so ein, dass sie den Zugriffsschlüssel Ihres IAM-Benutzers oder Ihrer Verbundrolle verwendet. Weitere Informationen finden Sie unter Konfigurieren der AWS Command Line Interface im AWS Command Line Interface -Leitfaden.

    Konfigurieren Sie die mit dem Befehl wie folgt:

    aws configure

    Wenn Sie dazu aufgefordert werden, geben Sie die folgenden Informationen an:

    AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-east-2
Default output format [None]: json

  2. Erstellen Sie ein neues Profil für die Rolle in der Datei .aws/config in Unix oder Linux oder in der Datei C:\Users\USERNAME\.aws\config in Windows. Im folgenden Beispiel wird ein Profil mit dem Namen prodaccess erstellt, das zur Rolle ProductionAccessRole im 123456789012-Konto wechselt. Der ARN der Rolle wird Ihnen vom Kontoadministrator, der die Rolle erstellt hat, mitgeteilt. Wenn dieses Profil aufgerufen wird, AWS CLI verwendet es die Anmeldeinformationen von, um Anmeldeinformationen für die source_profile Rolle anzufordern. Daher muss die Identität, die als source_profile referenziert ist, über sts:AssumeRole-Berechtigungen für die Rolle verfügen, die in role_arn angegeben ist.

    [profile prodaccess]
    role_arn = arn:aws:iam::123456789012:role/ProductionAccessRole
    source_profile = default

  3. Nachdem Sie das neue Profil erstellt haben, wird jeder AWS CLI Befehl, der den Parameter angibt, unter den Berechtigungen --profile prodaccess ausgeführt, die der IAM-Rolle zugewiesen sind, und nicht unter den Berechtigungen ProductionAccessRole des Standardbenutzers.

    aws iam list-users --profile prodaccess

    Dieser Befehl funktioniert, wenn die Berechtigungen, die ProductionAccessRole zugeordnet sind, das Auflisten der Benutzer im aktuellen AWS -Konto ermöglichen.

  4. Um zu den Berechtigungen zurückzukehren, die von Ihren ursprünglichen Anmeldeinformationen erteilt wurden, führen Sie Befehle ohne den --profile-Parameter. Das AWS CLI verwendet wieder die Anmeldeinformationen in Ihrem Standardprofil, in dem Sie es konfiguriert haben. Schritt 1

Weitere Informationen hierzu finden Sie unter Assuming a Role im AWS Command Line Interface Leitfaden.

Beispielszenario: Einer Instance-Profilrolle erlauben, zu einer Rolle in einem anderen Konto zu wechseln

Stellen Sie sich vor AWS-Konten, Sie verwenden zwei und möchten einer Anwendung, die auf einer EC2 Amazon-Instance ausgeführt wird, erlauben, AWS CLIBefehle in beiden Konten auszuführen. Gehen Sie davon aus, dass die EC2 Instanz im Konto vorhanden ist111111111111. Diese Instance enthält die abcd-Instance-Profilrolle, die der Anwendung erlaubt, schreibgeschützte Amazon S3-Aufgaben für den amzn-s3-demo-bucket1-Bucket innerhalb desselben 111111111111 Kontos auszuführen. Die Anwendung muss aber auch berechtigt sein, die kontoübergreifende efgh-Rolle zu übernehmen, um Aufgaben im Konto 222222222222 auszuführen. Zu diesem Zweck muss die abcd EC2 Instanzprofilrolle über die folgende Berechtigungsrichtlinie verfügen:

Konto 111111111111 abcd Rollen-Berechtigungsrichtlinie

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAccountLevelS3Actions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetAccountPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowListAndReadS3ActionOnMyBucket",
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket1"
            ]
        },
        {
            "Sid": "AllowIPToAssumeCrossAccountRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::222222222222:role/efgh"
        }
    ]
}

Gehen Sie davon aus, dass die kontoübergreifende efgh-Rolle die Ausführung schreibgeschützter Amazon S3-Aufgaben für den amzn-s3-demo-bucket2-Bucket im selben 222222222222-Konto zulässt. Dazu muss der kontoübergreifenden efgh-Rolle die folgende Berechtigungsrichtlinie zugeordnet sein:

Konto 222222222222 efgh Rollen-Berechtigungsrichtlinie

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAccountLevelS3Actions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetAccountPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowListAndReadS3ActionOnMyBucket",
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket2/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2"
            ]
        }
    ]
}

Die efgh-Rolle muss der abcd-Instance-Profilrolle die Übernahme erlauben. Dazu benötigt die efgh-Rolle die folgende Vertrauensrichtlinie:

Konto 222222222222 efgh Rollen-Berechtigungsrichtlinie

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "efghTrustPolicy",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {"AWS": "arn:aws:iam::111111111111:role/abcd"}
        }
    ]
}

Um dann AWS CLI Befehle im Konto auszuführen222222222222, müssen Sie die CLI-Konfigurationsdatei aktualisieren. Identifizieren Sie in der AWS CLI Konfigurationsdatei die efgh Rolle als „Profil“ und die abcd EC2 Instanzprofilrolle als „Quelle für Anmeldeinformationen“. Dann werden Ihre CLI-Befehle mit den Berechtigungen der efgh-Rolle und nicht mit denen der ursprünglichen abcd-Rolle ausgeführt.

Anmerkung

Aus Sicherheitsgründen können Sie AWS CloudTrail damit die Verwendung von Rollen im Konto überprüfen. Um in CloudTrail Protokollen zwischen Rollensitzungen zu unterscheiden, wenn eine Rolle von verschiedenen Prinzipalen verwendet wird, können Sie den Namen der Rollensitzung verwenden. Wenn der eine Rolle im Namen eines Benutzers AWS CLI übernimmt, wie in diesem Thema beschrieben, wird automatisch ein Rollensitzungsname als AWS-CLI-session-nnnnnnnn erstellt. Hier nnnnnnnn ist eine Ganzzahl, die die Zeit in Unix-Epochenzeit darstellt (die Anzahl der Sekunden seit Mitternacht UTC am 1. Januar 1970). Weitere Informationen finden Sie unter CloudTrail Event Reference im AWS CloudTrail Benutzerhandbuch.

Um zu ermöglichen, dass eine EC2 Instanzprofilrolle zu einer kontoübergreifenden Rolle wechselt ()AWS CLI

  1. Sie müssen kein Standard-CLI-Profil konfigurieren. Stattdessen können Sie Anmeldeinformationen aus den Metadaten des EC2 Instanzprofils laden. Erstellen Sie ein neues Profil für die Rolle in der .aws/config-Datei. Das folgende Beispiel erstellt ein instancecrossaccount-Profil, das zur efgh-Rolle im 222222222222-Konto wechselt. Wenn dieses Profil aufgerufen wird, AWS CLI verwendet es die Anmeldeinformationen der Metadaten des EC2 Instanzprofils, um Anmeldeinformationen für die Rolle anzufordern. Aus diesem Grund muss die EC2 Instanzprofilrolle über sts:AssumeRole Berechtigungen für die in der role_arn angegebene Rolle verfügen.

    [profile instancecrossaccount]
role_arn = arn:aws:iam::222222222222:role/efgh
credential_source = Ec2InstanceMetadata

  2. Nachdem Sie das neue Profil erstellt haben, wird jeder AWS CLI Befehl, der den Parameter angibt, unter den Berechtigungen --profile instancecrossaccount ausgeführt, die der efgh Rolle im Konto zugewiesen sind222222222222.

    aws s3 ls amzn-s3-demo-bucket2 --profile instancecrossaccount

    Dieser Befehl funktioniert, wenn die Berechtigungen, die zur efgh-Rolle zugewiesen sind, die Auflistung der Benutzer im aktuellen AWS-Konto zulässt.

  3. Um zu den ursprünglichen EC2 Instanzprofilberechtigungen im Konto zurückzukehren111111111111, führen Sie die CLI-Befehle ohne den --profile Parameter aus.

Weitere Informationen hierzu finden Sie unter Assuming a Role im AWS Command Line Interface Leitfaden.