Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von IAM-Rollen
Bevor ein Benutzer, Anwendungen oder Services eine von Ihnen erstellte Rolle verwenden können, müssen Sie Berechtigungen zum Wechseln zu dieser Rolle erteilen. Sie können jede Richtlinie verwenden, die Gruppen oder Benutzern zugewiesen ist, um die erforderlichen Berechtigungen zu gewähren. In diesem Abschnitt wird beschrieben, wie Sie Benutzern die Berechtigung zur Verwendung einer Rolle gewähren. Außerdem wird erklärt, wie der Benutzer über die Tools für Windows AWS Management Console PowerShell, die AWS Command Line Interface
(AWS CLI) und die AssumeRoleAPI zu einer Rolle wechseln kann.
Wichtig
Wenn Sie die Rolle programmgesteuert anstatt in der IAM-Konsole erstellen, haben Sie die Möglichkeit, einen Path mit bis zu 512 Zeichen und einen RoleName mit bis zu 64 Zeichen hinzuzufügen. Wenn Sie jedoch beabsichtigen, eine Rolle mit der Funktion „Rolle wechseln“ in der zu verwenden AWS Management Console, dann die Kombination Path und RoleName darf 64 Zeichen nicht überschreiten.
Sie können die Rollen von der aus wechseln AWS Management Console. Sie können eine Rolle übernehmen, indem Sie eine AWS CLI oder API-Operation aufrufen oder eine benutzerdefinierte URL verwenden. Die verwendete Methode bestimmt, wer die Rolle annehmen und wie lange die Rollensitzung dauern kann. Bei der Verwendung von AssumeRole*-API-Vorgängen ist die von Ihnen angenommene IAM-Rolle die Ressource. Der Benutzer oder die Rolle, der/die AssumeRole*-API-Vorgänge aufruft, ist der Prinzipal.
Vergleichen von Methoden für die Nutzung von Rollen | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Methode der Übernahme der Rolle | Wer die Rolle annehmen kann | Methode zum Festlegen der Lebensdauer der Anmeldeinformationen | Lebensdauer der Anmeldeinformationen (min | max | Standard) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Management Console | Benutzer (durch Wechseln der Rollen) | Maximale Sitzungsdauer auf der Seite -Rollen-Zusammenfassung | 15 Min. | Maximale Sitzungsdauer² | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
assume-role-CLI- oder AssumeRole-API-Operation |
Benutzer oder Rolle¹ | duration-seconds CLI- oder DurationSeconds API-Parameter |
15 Min. | Maximale Sitzungsdauer² | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
assume-role-with-saml-CLI- oder AssumeRoleWithSAML-API-Operation |
Jeder Benutzer, der mit SAML authentifiziert wird | duration-seconds CLI- oder DurationSeconds API-Parameter |
15 Min. | Maximale Sitzungsdauer² | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
assume-role-with-web-identity-CLI- oder AssumeRoleWithWebIdentity-API-Operation |
Jeder Benutzer, der über einen OIDC-Anbieter authentifiziert wurde | duration-seconds CLI- oder DurationSeconds API-Parameter |
15 Min. | Maximale Sitzungsdauer² | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konsolen-URL erstellt mit AssumeRole |
Benutzer oder Rolle | SessionDuration HTML-Parameter in der URL |
15 Min. | 12 Std. | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konsolen-URL erstellt mit AssumeRoleWithSAML |
Jeder Benutzer, der mit SAML authentifiziert wird | SessionDuration HTML-Parameter in der URL |
15 Min. | 12 Std. | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konsolen-URL erstellt mit AssumeRoleWithWebIdentity |
Jeder Benutzer, der über einen OIDC-Anbieter authentifiziert wurde | SessionDuration HTML-Parameter in der URL |
15 Min. | 12 Std. | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
¹ Das Verwenden der Anmeldeinformationen für eine Rolle, um eine andere Rolle anzunehmen, wird als Verketten von Rollen bezeichnet. Wenn Sie die Verkettung von Rollen verwenden, sind Ihre neuen Anmeldeinformationen auf eine maximale Dauer von einer Stunde begrenzt. Wenn Sie Rollen verwenden, um Berechtigungen für Anwendungen zu erteilen, die auf EC2-Instances ausgeführt werden, unterliegen diese Anwendungen nicht dieser Einschränkung.
Diese Einstellung kann einen Wert zwischen 1 Stunde und 12 Stunden haben. Weitere Informationen zur maximalen Sitzungsdauer finden Sie unter Ändern einer Rolle. Diese Einstellung bestimmt die maximale Sitzungsdauer, die Sie anfordern können, wenn Sie die Anmeldeinformationen einer Rolle erhalten. Wenn Sie beispielsweise die API-Operationen AssumeRole* verwenden, um eine Rolle anzunehmen, können Sie mithilfe des Parameters eine Sitzungslänge angeben. DurationSeconds Verwenden Sie diesen Parameter, um die Länge der Rollensitzung von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle anzugeben. IAM-Benutzern wird die für die Rolle festgelegte maximale Sitzungsdauer oder die verbleibende Zeit in der Sitzung des Benutzers gewährt, je nachdem, welcher Wert geringer ist. Angenommen Sie, Sie eine maximale Dauer von 5 Stunden für eine Rolle festlegen. Ein IAM-Benutzer, der 10 Stunden lang bei der Konsole angemeldet wurde (ab dem Standardmaximum von 12), wechselt zur Rolle. Die verfügbare Rollensitzungsdauer beträgt 2 Stunden. Weitere Informationen zum Anzeigen des maximalen Werts für Ihre Rolle finden Sie unter Anzeigen der maximalen Sitzungsdauer für eine Rolle weiter unten auf dieser Seite.
Hinweise
-
Die Einstellung für die maximale Sitzungsdauer beschränkt keine Sitzungen, die von AWS -Services übernommen werden.
-
Die Anmeldeinformationen für Amazon EC2 IAM-Rollen unterliegen nicht der in der Rolle konfigurierten maximalen Sitzungsdauer.
-
Damit Benutzer die aktuelle Rolle innerhalb einer Rollensitzung wieder übernehmen können, geben Sie den Rollen-ARN oder AWS-Konto ARN als Principal in der Rollenvertrauensrichtlinie an. AWS-Services die Rechenressourcen wie Amazon EC2, Amazon ECS, Amazon EKS und Lambda bereitstellen, stellen temporäre Anmeldeinformationen bereit und aktualisieren diese Anmeldeinformationen automatisch. Dadurch wird sichergestellt, dass Sie immer über gültige Anmeldeinformationen verfügen. Für diese Dienste ist es nicht erforderlich, die aktuelle Rolle erneut anzunehmen, um temporäre Anmeldeinformationen zu erhalten. Wenn Sie jedoch beabsichtigen, Sitzungs-Tags oder eine Sitzungsrichtlinie zu übergeben, müssen Sie die aktuelle Rolle erneut annehmen. Informationen zum Ändern einer Rollenvertrauensrichtlinie zum Hinzufügen der Hauptrollen ARN oder AWS-Konto ARN finden Sie unterÄndern einer Rollenvertrauensrichtlinie (Konsole).
Themen
- Anzeigen der maximalen Sitzungsdauer für eine Rolle
- Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen
- Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS -Service übergeben kann
- Wechseln zu einer Rolle (Konsole)
- Wechseln zu einer IAM-Rolle (AWS CLI)
- Zu einer IAM-Rolle wechseln (Tools für Windows PowerShell)
- Zu einer IAM-Rolle (AWS API) wechseln
- Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden
- Widerrufen der temporären Sicherheitsanmeldeinformationen für IAM-Rollen
Anzeigen der maximalen Sitzungsdauer für eine Rolle
Sie können die maximale Sitzungsdauer für eine Rolle mithilfe der AWS Management Console AWS CLI oder AWS -API angeben. Wenn Sie eine API-Operation AWS CLI oder verwenden, um eine Rolle anzunehmen, können Sie einen Wert für den DurationSeconds Parameter angeben. Mit diesem Parameter können Sie die Dauer der Rollensitzung von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle festlegen. Bevor Sie den Parameter angeben, sollten Sie diese Einstellung für Ihre Rolle anzeigen. Wenn Sie einen Wert für den DurationSeconds-Parameter angeben, der höher als die maximale Einstellung ist, schlägt die Operation fehl.
So zeigen Sie die maximale Sitzungsdauer einer Rolle an (Konsole)
-
Wählen Sie im Navigationsbereich der IAM Console Roles (Rollen) aus.
-
Wählen Sie den Namen der Rolle, die Sie anzeigen möchten.
-
Neben Maximale Sitzungsdauer sehen Sie die maximale Sitzungsdauer, die für die Rolle gewährt wird. Dies ist die maximale Sitzungsdauer, die Sie in Ihrem AWS CLI oder API-Vorgang angeben können.
So zeigen Sie die maximale Sitzungsdauer einer Rolle an (AWS CLI)
-
Wenn Sie den Namen der Rolle, die Sie übernehmen möchten, nicht kennen, führen Sie den folgenden Befehl aus, um die Rollen im Konto aufzulisten:
-
Führen Sie zum Anzeigen der maximalen Sitzungsdauer einer Rolle folgenden Befehl. Anschließend zeigen Sie den Parameter für die maximale Sitzungsdauer an.
Um die Einstellung für die maximale Sitzungsdauer (AWS API) einer Rolle anzuzeigen
-
Wenn Sie den Namen der Rolle, die Sie übernehmen möchten, nicht kennen, rufen Sie die folgende Operation auf, um die Rollen im Konto aufzulisten:
-
Führen Sie zum Anzeigen der maximalen Sitzungsdauer der Rolle die folgende Operation. Anschließend zeigen Sie den Parameter für die maximale Sitzungsdauer an.
