Erteilen von Berechtigungen zum Erstellen von temporären Sicherheitsanmeldeinformationen - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen von Berechtigungen zum Erstellen von temporären Sicherheitsanmeldeinformationen

Standardmäßig haben IAM-Benutzer keine Berechtigung zum Erstellen temporärer Sicherheitsanmeldeinformationen für Verbundbenutzer und Rollen. Sie müssen eine Richtlinie verwenden, um Ihren Benutzern diese Berechtigungen zu gewähren. Obwohl Sie einem Benutzer Berechtigungen direkt erteilten können, empfehlen wir dringend, die Berechtigungen einer Gruppe zu erteilen. Dadurch ist die Verwaltung der Berechtigungen wesentlich einfacher. Wenn ein Benutzer nicht mehr die berechtigten Aufgaben ausführen muss, entfernen Sie ihn einfach aus der Gruppe. Wenn diese Aufgabe von einem anderen Benutzer auszuführen ist, fügen Sie ihn der Gruppe hinzu, um die Berechtigungen zu erteilen.

Um einer IAM-Gruppe Berechtigung zum Erstellen von temporären Sicherheitsanmeldeinformationen für Verbundbenutzer oder Rollen zu erteilen, fügen Sie eine Richtlinie an, die eine oder beide der folgenden Berechtigungen gewährt:

  • Um den Verbundbenutzern den Zugriff auf eine IAM-Rolle zu ermöglichen, erteilen Sie die Zugriffsberechtigung auf AWS STS AssumeRole .

  • Gewähren Sie Verbundbenutzern, die keine Rolle benötigen, Zugriff auf. AWS STS GetFederationToken

Weitere Informationen zu den Unterschieden zwischen den API-Operationen AssumeRole und GetFederationToken finden Sie unter Anfordern temporärer Sicherheitsanmeldeinformationen.

IAM-Benutzer können auch GetSessionToken aufrufen, um temporäre Sicherheitsanmeldeinformationen zu erstellen. Für den Aufruf von GetSessionToken benötigt ein Benutzer keine Berechtigungen. Der Zweck dieser Operation besteht darin, den Benutzer mithilfe von MFA zu authentifizieren. Die Authentifizierung kann nicht über Richtlinien gesteuert werden. Dies bedeutet, dass Sie IAM-Benutzer nicht daran hindern können, zum Erstellen von temporären Anmeldeinformationen GetSessionToken aufzurufen.

Beispiel für eine Richtlinie, die die Erlaubnis zur Übernahme einer Rolle erteilt

Die folgende Beispielrichtlinie gewährt die Erlaubnis, die UpdateApp Rolle in AWS-Konto 123123123123 aufzurufenAssumeRole. Wenn AssumeRole verwendet wird, kann der Benutzer (oder die Anwendung), der die Sicherheitsanmeldeinformationen im Namen eines Verbundbenutzers erstellt, nur die explizit in der Berechtigungsrichtlinie der Rolle angegebenen Berechtigungen delegieren. 

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::123123123123:role/UpdateAPP"
  }]
}
Beispielrichtlinie, die die Erlaubnis zum Erstellen temporärer Sicherheitsnachweise für einen Verbundbenutzer erteilt

Die folgende Beispielrichtlinie zeigt, wie Sie die Zugriffsberechtigung für GetFederationToken erteilen.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:GetFederationToken",
    "Resource": "*"
  }]
}
Wichtig

Wenn Sie IAM-Benutzern die Berechtigung zum Erstellen von temporären Sicherheitsanmeldeinformationen für Verbundbenutzer mit GetFederationToken erteilen, sollten Sie sich darüber im Klaren sein, dass hiermit diesen Benutzern die Delegierung ihrer eigenen Berechtigungen ermöglicht wird. Weitere Informationen zum Delegieren von Berechtigungen zwischen IAM-Benutzern und finden Sie AWS-Konten unter. Beispiele für Richtlinien zum Delegieren des Zugriffs Weitere Informationen zum Steuern von Berechtigungen in temporären Sicherheitsanmeldeinformationen finden Sie unter Steuern von Berechtigungen für temporäre Sicherheitsanmeldeinformationen.

Beispielrichtlinie, die einem Benutzer die eingeschränkte Berechtigung erteilt, temporäre Sicherheitsnachweise für Benutzer im Verbund zu erstellen

Wenn Sie einem IAM-Benutzer ermöglichen, GetFederationToken aufzurufen, ist es eine bewährte Methode, die Berechtigungen einzuschränken, die der IAM-Benutzer delegieren kann. Folgende Richtlinie zeigt beispielsweise, wie einem IAM-Benutzer ermöglicht wird, temporäre Sicherheitsanmeldeinformationen nur für Verbundbenutzer zu erstellen, deren Namen mit Manager beginnt.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:GetFederationToken",
    "Resource": ["arn:aws:sts::123456789012:federated-user/Manager*"]
  }]
}