Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Assumere un ruolo con AWS credenziali di autenticazione e strumenti AWS SDKs
Assumere un ruolo implica l'utilizzo di un set di credenziali di sicurezza temporanee per accedere a AWS risorse a cui altrimenti non avreste accesso. Le credenziali temporanee sono costituite da un ID chiave di accesso, una chiave di accesso segreta e un token di sicurezza. Per ulteriori informazioni sulle richieste API AWS Security Token Service (AWS STS), consulta Azioni nell'AWS Security Token Service API Reference.
Per configurare l'SDK o lo strumento in modo che assuma un ruolo, devi prima creare o identificare un ruolo specifico da assumere. I ruoli IAM sono identificati in modo univoco da un ruolo Amazon Resource Name (ARN). I ruoli stabiliscono relazioni di fiducia con un'altra entità. L'entità attendibile che utilizza il ruolo potrebbe essere una Servizio AWS o un'altra Account AWS. Per ulteriori informazioni sui ruoli IAM, consulta Using IAM roles nella IAM User Guide.
Dopo aver identificato il ruolo IAM, se quel ruolo ti affida la fiducia, puoi configurare il tuo SDK o lo strumento per utilizzare le autorizzazioni concesse dal ruolo.
Nota
È consigliabile utilizzare gli endpoint regionali ogni volta che è possibile e configurare i propri. AWS Regione AWS
Assumi un ruolo IAM
Quando assume un ruolo, AWS STS restituisce un set di credenziali di sicurezza temporanee. Queste credenziali provengono da un altro profilo o dall'istanza o dal contenitore in cui è in esecuzione il codice. In genere, questo tipo di assunzione di un ruolo viene utilizzato quando si dispone delle AWS credenziali per un account, ma l'applicazione richiede l'accesso alle risorse di un altro account.
Fase 1: configurare un ruolo IAM
Per configurare il tuo SDK o lo strumento per assumere un ruolo, devi prima creare o identificare un ruolo specifico da assumere. I ruoli IAM vengono identificati in modo univoco utilizzando un ruolo ARN. I ruoli stabiliscono relazioni di fiducia con un'altra entità, in genere all'interno dell'account o per l'accesso tra account. Per configurarlo, consulta Creazione di ruoli IAM nella Guida per l'utente IAM.
Passaggio 2: configura l'SDK o lo strumento
Configura l'SDK o lo strumento per ottenere le credenziali da o. credential_source source_profile
credential_sourceUtilizzalo per ottenere credenziali da un contenitore Amazon ECS, un' EC2 istanza Amazon o da variabili di ambiente.
Utilizzalo source_profile per ottenere credenziali da un altro profilo. source_profilesupporta anche il concatenamento dei ruoli, ossia gerarchie di profili in cui un ruolo assunto viene poi utilizzato per assumere un altro ruolo.
Quando lo specificate in un profilo, l'SDK o lo strumento effettuano automaticamente la chiamata AWS STS AssumeRoleAPI corrispondente. Per recuperare e utilizzare le credenziali temporanee assumendo un ruolo, specificate i seguenti valori di configurazione nel file condiviso. AWS config Per maggiori dettagli su ciascuna di queste impostazioni, consulta la sezione. Assumi le impostazioni del fornitore di credenziali di ruolo
-
role_arn- Dal ruolo IAM che hai creato nella fase 1 -
Configura uno dei due
source_profileocredential_source -
(Opzionale)
duration_seconds -
(Opzionale)
external_id -
(Opzionale)
mfa_serial -
(Opzionale)
role_session_name
Gli esempi seguenti mostrano la configurazione di entrambe le opzioni di assunzione del ruolo in un config file condiviso:
role_arn = arn:aws:iam::123456789012:role/my-role-namesource_profile =profile-name-with-user-that-can-assume-role
role_arn = arn:aws:iam::123456789012:role/my-role-namecredential_source =Ec2InstanceMetadata
Per i dettagli su tutte le impostazioni del provider di credenziali di assunzione del ruolo, Assumi il ruolo di fornitore di credenziali consulta questa guida.
