Beispiel 4: Bucket-Besitzer gewährt kontoübergreifende Berechtigungen für Objekte, die er nicht besitzt - Amazon Simple Storage Service
Grundlegendes zu kontoübergreifenden Berechtigungen und Verwendung von IAM-RollenSchritt 0: Vorbereitung auf den WalkthroughSchritt 1: Erledigen der Aufgaben von Konto ASchritt 2: Erledigen der Aufgaben von Konto BSchritt 3: Führen Sie die Aufgaben mit Konto C ausSchritt 4: BereinigenZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel 4: Bucket-Besitzer gewährt kontoübergreifende Berechtigungen für Objekte, die er nicht besitzt

In diesem Beispielszenario besitzen Sie einen Bucket und haben anderen AWS-Konten das Hochladen von Objekten ermöglicht. Wenn Sie die vom Bucket-Eigentümer erzwungene Einstellung für S3 Object Ownership für den Bucket angewendet haben, besitzen Sie alle Objekte im Bucket, einschließlich der Objekte, die von einem anderen AWS-Konto geschrieben wurden. Dieser Ansatz löst das Problem, dass Objekte nicht Ihnen, dem Bucket-Besitzer, gehören. Anschließend können Sie die Berechtigung an Benutzer in Ihrem eigenen Konto oder an andere AWS-Konten. Angenommen, die erzwungene Einstellung des Bucket-Eigentümers für S3 Object Ownership ist nicht aktiviert. Das bedeutet, Ihr Bucket kann Objekte enthalten, die anderen AWS-Konten gehören.

Angenommen, Sie müssen als Bucket-Eigentümer einem Benutzer in einem anderen Konto eine kontenübergreifende Berechtigung für Objekte erteilen, unabhängig davon, wer der Eigentümer ist. Dieser Benutzer könnte beispielsweise eine Buchhaltungsanwendung sein, die Zugriff auf Objekt-Metadaten benötigt. Es gibt zwei Kernprobleme:

  • Der Bucket-Eigentümer hat keine Berechtigungen für diese Objekte, die von anderen AWS-Konten erstellt wurden. Damit der Bucket-Besitzer Berechtigungen für Objekte gewähren kann, die ihm nicht gehören, muss der Objekteigentümer zuerst dem Bucket-Besitzer die entsprechenden Rechte erteilen. Der Objekteigentümer ist derjenige AWS-Konto , der die Objekte erstellt hat. Der Bucket-Eigentümer kann diese Berechtigungen delegieren.

  • Das Konto des Bucket-Besitzers kann Berechtigungen an Benutzer in seinem eigenen Konto delegieren (sieheBeispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören). Das Konto des Bucket-Besitzers kann jedoch keine Berechtigungen an andere delegieren, AWS-Konten da die kontoübergreifende Delegierung nicht unterstützt wird.

In diesem Szenario kann der Bucket-Besitzer eine AWS Identity and Access Management (IAM-) Rolle mit der Berechtigung für den Zugriff auf Objekte erstellen. Anschließend kann der Bucket-Besitzer eine weitere AWS-Konto Berechtigung zur Übernahme der Rolle gewähren, sodass er vorübergehend auf Objekte im Bucket zugreifen kann.

Anmerkung

S3 Object Ownership ist eine Amazon-S3-Einstellung auf Bucket-Ebene, mit der Sie sowohl die Eigentümerschaft von den Objekten steuern können, die in Ihre Buckets hochgeladen werden, als auch ACLs deaktivieren oder aktivieren können. Standardmäßig ist die Objekteigentümerschaft auf die Einstellung „Vom Bucket-Eigentümer erzwungen“ festgelegt und alle ACLs sind deaktiviert. Wenn ACLs deaktiviert sind, besitzt der Bucket-Eigentümer alle Objekte im Bucket und verwaltet den Zugriff darauf ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.

Die meisten modernen Anwendungsfälle in Amazon S3 erfordern keine ACLs mehr. Wir empfehlen Ihnen, ACLs deaktiviert zu lassen, außer unter ungewöhnlichen Umständen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn ACLs deaktiviert sind, können Sie mithilfe von Richtlinien den Zugriff auf alle Objekte in Ihrem Bucket steuern, unabhängig davon, wer die Objekte in Ihren Bucket hochgeladen hat. Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket..

Grundlegendes zu kontoübergreifenden Berechtigungen und Verwendung von IAM-Rollen

IAM-Rollen unterstützen verschiedene Szenarien, den Zugriff auf Ihre Ressourcen zu definieren. Der kontenübergreifende Zugriff ist eines der Schlüsselszenarien. In diesem Beispiel verwendet der Bucket-Besitzer, Konto A, eine IAM-Rolle, um vorübergehend den kontoübergreifenden Objektzugriff an Benutzer in einem anderen Konto AWS-Konto, Konto C, zu delegieren. Jeder IAM-Rolle, die Sie erstellen, sind die folgenden zwei Richtlinien zugeordnet:

  • Eine Vertrauensrichtlinie, die eine andere identifiziert AWS-Konto , die die Rolle übernehmen kann.

  • Eine Zugriffsrichtlinie, die definiert, welche Berechtigungen – z. B. s3:GetObject – zulässig sind, wenn jemand die Rolle einnimmt. Eine Liste aller Berechtigungen, die Sie in einer Richtlinie angeben können, finden Sie unter Politische Maßnahmen für Amazon S3.

Die AWS-Konto in der Vertrauensrichtlinie angegebene Person erteilt ihrem Benutzer dann die Erlaubnis, die Rolle zu übernehmen. Der Benutzer kann dann wie folgt auf Objekte zugreifen:

  • Die Rolle einnehmen und daraufhin temporäre Sicherheitsanmeldeinformationen erhalten.

  • Verwenden der temporären Sicherheitsanmeldeinformationen, um auf die Objekte im Bucket zuzugreifen.

Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.

Im Folgenden finden Sie eine Zusammenfassung der exemplarischen Schritte:

Kontoübergreifende Berechtigungen mithilfe von IAM-Rollen.

  1. Der Administrator-Benutzer von Konto A ordnet eine Bucket-Richtlinie zu, die Konto B die bedingte Berechtigung erteilt, Objekte hochzuladen.

  2. Der Administrator von Konto A erstellt eine IAM-Rolle, die eine Vertrauensbeziehung zu Konto C einrichtet, sodass Benutzer in diesem Konto auf Konto A zugreifen können. Die der Rolle zugeordnete Zugriffsrichtlinie beschränkt die Aktionen, die der Benutzer in Konto C machen kann, wenn er auf Konto A zugreift.

  3. Der Administrator von Konto B lädt ein Objekt in den Bucket hoch, der Konto A gehört, und erteilt dem Bucket-Eigentümer vollständige Berechtigungen.

  4. Der Administrator von Konto C erstellt einen Benutzer und ordnet ihm eine Benutzerrichtlinie zu, die dem Benutzer gestattet, die Rolle zu übernehmen.

  5. Der Benutzer in Konto C übernimmt zuerst die Rolle, womit er temporäre Sicherheitsanmeldeinformationen erhält. Unter Verwendung dieser temporären Sicherheitsanmeldeinformationen greift der Benutzer dann auf die Objekte im Bucket zu.

Für dieses Beispiel benötigen Sie drei Konten. Die folgende Tabelle zeigt, wie wir auf diese Konten und die Administrator-Benutzer in diesen Konten verweisen. Gemäß den IAM-Richtlinien (sieheInformationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen) verwenden wir die Root-Benutzer des AWS-Kontos Anmeldeinformationen in dieser exemplarischen Vorgehensweise nicht. Stattdessen erstellen Sie einen Administrator-Benutzer in jedem Konto, und verwenden dessen Anmeldeinformationen, um Ressourcen zu erstellen und ihnen Berechtigungen zu erteilen.

AWS-Konto Ausweis Konto bezeichnet als Administratorbenutzer im Konto

1111-1111-1111

Konto A

AccountAadmin

2222-2222-2222

Konto B

AccountBadmin

3333-3333-3333

Konto C

AccountCadmin

Schritt 0: Vorbereitung auf den Walkthrough

Anmerkung

Möglicherweise möchten Sie einen Texteditor öffnen und einige Informationen aufschreiben, während Sie die Schritte ausführen. Insbesondere brauchen Sie Konten-IDs, kanonische Benutzer-IDs, URLs für die Anmeldung von IAM-Benutzern für jedes Konto, das mit der Konsole verbunden wird, sowie die Amazon-Ressourcennamen (ARNs) der IAM-Benutzer und -Rollen.

  1. Stellen Sie sicher, dass Sie drei haben AWS-Konten und dass jedes Konto über einen Administratorbenutzer verfügt, wie in der Tabelle im vorherigen Abschnitt dargestellt.

    1. Melden Sie sich bei Bedarf für AWS-Konten an. Wir bezeichnen diese Konten als Konto A, Konto B und Konto C.

    2. Melden Sie sich mit den Anmeldeinformationen für Konto A an der IAM-Konsole an und erstellen Sie wie folgt einen Administrator-Benutzer:

      • Erstellen Sie einen Benutzer AccountAadmin und notieren Sie sich seine Sicherheitsanmeldeinformationen. Weitere Informationen zum Hinzufügen von Benutzern finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto im IAM-Benutzerhandbuch.

      • Gewähren Sie Administratorrechte, AccountAadminindem Sie eine Benutzerrichtlinie anhängen, die vollen Zugriff gewährt. Weitere Informationen finden Sie unter Verwalten von IAM-Richtlinien im IAM-Benutzerhandbuch.

      • Notieren Sie sich im Dashboard der IAM-Konsole die Anmelde-URL für den IAM-Benutzer. Benutzer in diesem Konto müssen diese URL für die Anmeldung an der AWS Management Console verwenden. Weitere Informationen finden Sie unter AWS Management Console Als IAM-Benutzer anmelden im IAM-Benutzerhandbuch.

    3. Wiederholen Sie den obigen Schritt, um Administrator-Benutzer in Konto B und Konto C zu erstellen.

  2. Notieren Sie sich für Konto C die kanonische Benutzer-ID.

    Wenn Sie eine IAM-Rolle in Konto A erstellen, erteilt die Vertrauensrichtlinie Konto C die Berechtigung, die Rolle durch Angabe der Konto-ID zu übernehmen. Sie finden die Konteninformationen wie folgt:

    1. Verwenden Sie Ihre AWS-Konto ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der Amazon S3 S3-Konsole anzumelden.

    2. Wählen Sie den Namen eines Amazon-S3-Buckets aus, um die Details zu diesem Bucket anzuzeigen.

    3. Klicken Sie auf den Tab Berechtigungen und anschließend auf Access Control List.

    4. Im Abschnitt Access for your AWS-Konto(Zugriff für Ihr AWS-Konto) in der Spalte Konto befindet sich eine lange Kennung, z. B. c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6. Dies ist Ihre kanonische Benutzer-ID.

  3. Für das Erstellen einer Bucket-Richtlinie benötigen Sie die folgenden Informationen. Notieren Sie sich diese Werte:

    • Kanonische Benutzer-ID von Konto A – Wenn der Administrator von Konto A dem Administrator von Konto B die bedingte Berechtigung erteilt, Objekte hochzuladen, gibt die Bedingung die kanonische Benutzer-ID des Benutzers von Konto A an, der vollständige Kontrolle über die Objekte benötigt.

      Anmerkung

      Die kanonische Benutzer-ID ist ein nur für Amazon S3 geltendes Konzept. Es handelt sich dabei um eine 64 Zeichen lange verschleierte Version der Konto-ID.

    • Benutzer-ARN für Account B-Administrator — Sie finden den Benutzer-ARN in der IAM-Konsole. Sie müssen den Benutzer auswählen und den ARN des Benutzers auf der Registerkarte Zusammenfassung suchen.

      In der Bucket-Richtlinie gewähren Sie die AccountBadmin Berechtigung zum Hochladen von Objekten und geben den Benutzer an, der den ARN verwendet. Ein Beispiel für einen ARN-Wert:

      arn:aws:iam::AccountB-ID:user/AccountBadmin

  4. Richten Sie entweder die AWS Command Line Interface (CLI) oder die ein AWS Tools for Windows PowerShell. Stellen Sie sicher, dass Sie die Administrator-Benutzeranmeldedaten wie folgt speichern:

    • Wenn Sie das verwenden AWS CLI, erstellen Sie die Profile AccountAadmin und AccountBadmin in der Konfigurationsdatei.

    • Wenn Sie die verwenden AWS Tools for Windows PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als AccountAadmin und speichernAccountBadmin.

    Anweisungen finden Sie unter Einrichtung der Tools für die exemplarischen Vorgehensweisen.

Schritt 1: Erledigen der Aufgaben von Konto A

In diesem Beispiel ist Konto A der Bucket-Eigentümer. Der Benutzer AccountAadmin in Konto A wird also Folgendes tun:

  • Erstellen Sie einen Bucket.

  • Hängen Sie eine Bucket-Richtlinie an, die dem Konto B Administratorrechte zum Hochladen von Objekten gewährt.

  • Erstellen Sie eine IAM-Rolle, die Konto C die Berechtigung erteilt, die Rolle zu übernehmen, sodass es auf Objekte im Bucket zugreifen kann.

Schritt 1.1: Melden Sie sich an bei AWS Management Console

Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto A zunächst beim Benutzer AWS Management Console as AccountAadmin an. Dieser Benutzer erstellt einen Bucket und ordnet ihm eine Richtlinie zu.

Schritt 1.2: Erstellen eines Buckets und Anfügen einer Richtlinie

Führen Sie in der Amazon-S3-Konsole die folgenden Schritte aus:

  1. Erstellen Sie einen Bucket. Diese Übung setzt voraus, dass der Bucket-Name example-s3-bucket1 ist.

    Anweisungen finden Sie unter Erstellen eines Buckets.

  2. Fügen Sie die folgende Bucket-Richtlinie an. Die Richtlinie gewährt dem Administrator für Konto B bedingte Berechtigungen zum Hochladen von Objekten.

    Aktualisieren Sie die Richtlinie, indem Sie Ihre eigenen Werte für example-s3-bucket1AccountB-ID, und die angebenCanonicalUserId-of-AWSaccountA-BucketOwner. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "111",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AccountB-ID:user/AccountBadmin"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::example-s3-bucket1/*"
        },
        {
            "Sid": "112",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::AccountB-ID:user/AccountBadmin"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::example-s3-bucket1/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-grant-full-control": "id=CanonicalUserId-of-AWSaccountA-BucketOwner"
                }
            }
        }
    ]
}

Schritt 1.3: Erstellen Sie eine IAM-Rolle, um Konto C den kontoübergreifenden Zugriff auf Konto A zu ermöglichen

Erstellen Sie in der IAM-Konsole eine IAM-Rolle (examplerole), die Konto C die Erlaubnis erteilt, die Rolle zu übernehmen. Stellen Sie sicher, dass Sie immer noch als Administrator für Konto A angemeldet sind, da die Rolle in Konto A erstellt werden muss.

  1. Bevor Sie die Rolle erstellen, richten Sie die verwaltete Richtlinie ein, die die von der Rolle benötigten Berechtigungen definiert. Diese Richtlinie fügen Sie zu einem späteren Zeitpunkt der Rolle an.

    1. Wählen Sie im Navigationsbereich auf der linken Seite Richtlinien und dann Richtlinie erstellen aus.

    2. Klicken Sie neben Create Your Own Policy auf Select.

    3. Geben Sie access-accountA-bucket in das Feld Policy Name ein.

    4. Kopieren Sie die folgende Zugriffsrichtlinie und fügen Sie sie in das Feld Policy Document ein. Die Zugriffsrichtlinie gewährt der Rolle die s3:GetObject Berechtigung, sodass der Benutzer des Kontos C, wenn er die Rolle annimmt, nur den s3:GetObject Vorgang ausführen kann.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::example-s3-bucket1/*"
    }
  ]
}

    5. Wählen Sie Richtlinie erstellen aus.

      Die neue Richtlinie wird in der Liste der verwalteten Richtlinien angezeigt.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Rollen und dann Neue Rolle erstellen aus.

  3. Wählen Sie unter Rollentyp auswählen die Option Rolle für kontoübergreifenden Zugriff aus und klicken AWS-Konten Sie dann auf die Schaltfläche Auswählen neben Eigenzugriff bereitstellen.

  4. Geben Sie die Konto-ID von Konto C ein.

    Für diese exemplarische Vorgehensweise müssen Sie nicht verlangen, dass Benutzer über eine Multi-Faktor-Authentifizierung (MFA) verfügen, um die Rolle übernehmen zu können. Lassen Sie diese Option daher nicht ausgewählt.

  5. Klicken Sie auf Next Step, um die mit der Rolle verknüpften Berechtigungen einzurichten.

  6. Aktivieren Sie das Kontrollkästchen neben der Access-Account-A-Bucket-Richtlinie, die Sie erstellt haben, und wählen Sie dann Next Step aus.

    Die Prüfseite wird angezeigt, sodass Sie die Einstellungen bestätigen können, bevor Sie die Rolle erstellen. Ein sehr wichtiges, auf dieser Seite zu beachtendes Element ist der Link, den Sie an die Benutzer senden können, die die Rolle verwenden müssen. Benutzer, die den Link verwenden, gelangen direkt zur Seite „Rolle wechseln“, auf der die Felder Konto-ID und Rollenname bereits ausgefüllt sind. Dieser Link wird auch auf der Seite Role Summary für beliebige kontoübergreifende Rollen angezeigt.

  7. Geben Sie examplerole den Rollennamen ein und wählen Sie dann Next Step.

  8. Nachdem Sie die Rolle überprüft haben, wählen Sie Create Role aus.

    Die Rolle examplerole wird in der Liste der Rollen angezeigt.

  9. Wählen Sie den Rollennamenexamplerole.

  10. Wählen Sie den Tab Trust Relationships.

  11. Wählen Sie Richtliniendokument anzeigen und überprüfen Sie, ob die angezeigte Vertrauensrichtlinie mit der folgenden Richtlinie übereinstimmt.

    Die folgende Vertrauensrichtlinie richtet eine Vertrauensbeziehung zu Konto C ein und gestattet ihm die Aktion sts:AssumeRole. Weitere Informationen finden Sie unter AssumeRole in der AWS Security Token Service -API-Referenz.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::AccountC-ID:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  12. Notieren Sie sich den Amazon-Ressourcennamen (ARN) der examplerole Rolle, die Sie erstellt haben.

    In den nachfolgenden Schritten ordnen Sie eine Benutzerrichtlinie ein, um einem IAM-Benutzer zu erlauben, diese Rolle einzunehmen. Sie identifizieren die Rolle über den ARN-Wert.

Schritt 2: Erledigen der Aufgaben von Konto B

Der Beispiel-Bucket, der Konto A gehört, benötigt Objekte, die anderen Konten gehören. In diesem Schritt lädt der Administrator von Konto B unter Verwendung der Befehlszeilen-Tools ein Objekt hoch.

  • Laden Sie mithilfe des put-object AWS CLI Befehls ein Objekt in hochexample-s3-bucket1. 

    aws s3api put-object --bucket example-s3-bucket1 --key HappyFace.jpg --body HappyFace.jpg --grant-full-control id="canonicalUserId-ofTheBucketOwner" --profile AccountBadmin

    Beachten Sie Folgendes:

    • Der --Profile Parameter gibt das AccountBadmin Profil an, sodass das Objekt dem Konto B gehört.

    • Der Parameter grant-full-control erteilt dem Bucket-Eigentümer vollständige Berechtigungen für das Objekt, wie für die Bucket-Richtlinie erforderlich.

    • Der Parameter --body identifiziert die hochzuladende Quelldatei. Wenn sich die Datei beispielsweise auf dem Laufwerk C: eines Windows Computers befindet, geben Sie anc:\HappyFace.jpg.

Schritt 3: Führen Sie die Aufgaben mit Konto C aus

In den vorherigen Schritten hat Konto A bereits eine Rolle erstelltexamplerole, die Vertrauen zu Konto C herstellt. Diese Rolle ermöglicht es Benutzern in Konto C, auf Konto A zuzugreifen. In diesem Schritt erstellt der Administrator von Konto C einen Benutzer (Dave) und delegiert ihm die von Konto A erhaltenen sts:AssumeRole Berechtigungen. Dieser Ansatz ermöglicht es Dave, das Konto A zu übernehmen examplerole und vorübergehend Zugriff auf Konto A zu erhalten. Die Zugriffsrichtlinie, die Konto A der Rolle beigefügt hat, schränkt ein, was Dave tun kann, wenn er auf Konto A zugreift, insbesondere Objekte inexample-s3-bucket1.

Schritt 3.1: Erstellen Sie einen Benutzer in Konto C und delegieren Sie die Zugriffsrechte examplerole

  1. Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto C zunächst beim Benutzer as an AWS Management Console . AccountCadmin

  2. Erstellen Sie in der IAM-Konsole einen Benutzer, Dave.

    step-by-step Anweisungen finden Sie unter IAM-Benutzer erstellen (AWS Management Console) im IAM-Benutzerhandbuch.

  3. Notieren Sie sich die Dave-Anmeldeinformationen. Dave benötigt diese Anmeldeinformationen, um die Rolle examplerole zu übernehmen.

  4. Erstellen Sie eine Inline-Richtlinie für den Dave IAM-Benutzer, um Dave die sts:AssumeRole Berechtigung für die examplerole Rolle in Konto A zu delegieren.

    1. Wählen Sie im Navigationsbereich auf der linken Seite Users (Benutzer).

    2. Wählen Sie den Benutzernamen Dave.

    3. Wählen Sie auf der Seite mit den Benutzerinformationen den Tab Permissions aus und erweitern Sie den Abschnitt Inline Policies.

    4. Wählen Sie hier klicken (oder Create User Policy).

    5. Wählen Sie Custom Policy und dann Select aus.

    6. Geben Sie einen Namen für die Richtlinie in das Feld Policy Name ein.

    7. Kopieren Sie die folgende Richtlinie in das Feld Policy Document:.

      Sie müssen die Richtlinie aktualisieren, indem Sie die angebenAccountA-ID.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["sts:AssumeRole"],
      "Resource": "arn:aws:iam::AccountA-ID:role/examplerole"
    }
  ]
}

    8. Klicken Sie auf Apply Policy (Richtlinie anwenden).

  5. Speichern Sie Daves Anmeldeinformationen in der Konfigurationsdatei von, AWS CLI indem Sie ein weiteres Profil hinzufügen,AccountCDave.

    [profile AccountCDave]
aws_access_key_id = UserDaveAccessKeyID
aws_secret_access_key = UserDaveSecretAccessKey
region = us-west-2

Schritt 3.2: Übernehmen Sie die Rolle (examplerole) und greifen Sie auf Objekte zu

Jetzt kann Dave auf Objekte in dem Bucket zugreifen, der Konto A gehört, nämlich wie folgt:

  • Dave übernimmt zuerst die examplerole unter Verwendung seiner eigenen Anmeldeinformationen. Damit werden temporäre Anmeldeinformationen zurückgegeben.

  • Unter Verwendung der temporären Anmeldeinformationen greift Dave dann auf die Objekte im Bucket von Konto A zu.

  1. Führen Sie an der Eingabeaufforderung den folgenden AWS CLI assume-role Befehl mit dem AccountCDave Profil aus.

    Sie müssen den ARN-Wert im Befehl aktualisieren, indem Sie angebenAccountA-ID, wo definiert examplerole ist.

    aws sts assume-role --role-arn arn:aws:iam::AccountA-ID:role/examplerole --profile AccountCDave --role-session-name test

    Als Antwort gibt AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldedaten zurück (Zugriffsschlüssel-ID, geheimer Zugriffsschlüssel und ein Sitzungstoken).

  2. Speichern Sie die temporären Sicherheitsanmeldedaten in der AWS CLI Konfigurationsdatei unter dem TempCred Profil.

    [profile TempCred]
aws_access_key_id = temp-access-key-ID
aws_secret_access_key = temp-secret-access-key
aws_session_token = session-token
region = us-west-2

  3. Führen Sie in der Befehlszeile den folgenden AWS CLI Befehl aus, um mithilfe der temporären Anmeldeinformationen auf Objekte zuzugreifen. Beispielsweise gibt der Befehl die Head-Objekt API an, um die Objekt-Metadaten für das Objekt HappyFace.jpg abzurufen.

    aws s3api get-object --bucket example-s3-bucket1 --key HappyFace.jpg SaveFileAs.jpg --profile TempCred

    Die examplerole zugeordnete Zugriffsrichtlinie erlaubt die Aktionen, deshalb verarbeitet Amazon S3 die Anforderung. Sie können das mit jeder anderen Aktion für jedes andere Objekt im Bucket ausprobieren.

    Wenn Sie eine andere Aktion versuchen, z. B., wird get-object-acl Ihnen die Berechtigung verweigert, weil die Rolle diese Aktion nicht erlaubt.

    aws s3api get-object-acl --bucket example-s3-bucket1 --key HappyFace.jpg --profile TempCred

    Wir haben den Benutzer Dave verwendet, um die Rolle zu übernehmen und unter Verwendung temporärer Anmeldeinformationen auf das Objekt zuzugreifen. Es könnte auch eine Anwendung in Konto C sein, die auf Objekte in example-s3-bucket1 zugreift. Die Anwendung kann temporäre Anmeldeinformationen erhalten, und Konto C kann die Berechtigung der Anwendung delegieren, um examplerole zu übernehmen.

Schritt 4: Bereinigen

  1. Wenn Sie mit dem Testen fertig sind, können Sie wie folgt aufräumen:

    1. Melden Sie sich mit den Anmeldeinformationen von Konto A an der AWS Management Console an und machen Sie Folgendes:

      • Entfernen Sie in der Amazon-S3-Konsole die an example-s3-bucket1 angefügte Bucket-Richtlinie. Löschen Sie in den Bucket Properties die Richtlinie im Abschnitt Permissions.

      • Wenn der Bucket für diese Übung erstellt wurde, löschen Sie in der Amazon-S3-Konsole die Objekte und dann den Bucket.

      • Entfernen Sie in der IAM-Konsole die Datei, die examplerole Sie in Konto A erstellt haben. step-by-step Anweisungen finden Sie unter Löschen eines IAM-Benutzers im IAM-Benutzerhandbuch.

      • Entfernen Sie den Benutzer in der IAM-Konsole. AccountAadmin

  2. Melden Sie sich mit den Anmeldeinformationen von Konto B bei der IAM-Konsole an. Löschen Sie den Benutzer AccountBadmin.

  3. Melden Sie sich mit den Anmeldeinformationen von Konto C bei der IAM-Konsole an. Delete AccountCadminund der Benutzer Dave.

Zugehörige Ressourcen

Weitere Informationen zu dieser exemplarischen Vorgehensweise finden Sie in den folgenden Ressourcen im IAM-Benutzerhandbuch: