Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAMRollen
Eine IAM Rolle ist eine IAM Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM Rolle ähnelt einem IAM Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, wofür die Identität zuständig ist und welche nicht AWS. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.
Sie können Rollen verwenden, um den Zugriff an Benutzer, Anwendungen oder Dienste zu delegieren, die normalerweise keinen Zugriff auf Ihre AWS Ressourcen haben. Möglicherweise möchten Sie Benutzern in Ihrem AWS Konto Zugriff auf Ressourcen gewähren, über die sie normalerweise nicht verfügen, oder Benutzern in einem Konto AWS-Konto Zugriff auf Ressourcen in einem anderen Konto gewähren. Oder Sie möchten einer mobilen App die Nutzung von AWS Ressourcen ermöglichen, aber keine AWS Schlüssel in die App einbetten (wo sie schwierig zu aktualisieren sein können und Benutzer sie möglicherweise extrahieren können). Manchmal möchten Sie Benutzern AWS Zugriff gewähren, für die bereits Identitäten außerhalb von definiert wurden AWS, z. B. in Ihrem Unternehmensverzeichnis. Oder Sie können auch Drittanbietern Zugriff auf Ihr Konto gewähren, sodass sie eine Prüfung Ihrer Ressourcen ausführen können.
In diesen Szenarien können Sie den Zugriff auf AWS Ressourcen mithilfe einer IAM Rolle delegieren. Dieser Abschnitt bietet eine Einführung in Rollen und in die verschiedenen Verwendungsmöglichkeiten, wann und wie Sie unter den Methoden auswählen können und wie Sie Rollen erstellen, verwalten, annehmen und löschen bzw. zu diesen wechseln können.
Anmerkung
Wenn Sie Ihre zum ersten Mal erstellen AWS-Konto, werden standardmäßig keine Rollen erstellt. Wenn Sie Ihrem Konto Services hinzufügen, können sie zur Unterstützung ihrer Anwendungsfälle serviceverknüpfte Rollen hinzufügen.
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer AWS -Service verknüpft ist. Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.
Bevor Sie die serviceverknüpften Rollen löschen können, müssen Sie zunächst die zugehörigen Ressourcen löschen. Dies schützt Ihre -Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen darüber, welche Services die Verwendung von serviceverknüpften Rollen unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Suchen Sie nach den Services, für die Yes in der Spalte Service-Linked Role angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Rollenbegriffe und -konzepte
Im Folgenden finden Sie einige grundlegende Begriffe, die Ihnen bei den ersten Schritten mit Rollen helfen.
- Rolle
-
Eine IAM Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM Rolle weist einige Ähnlichkeiten mit einem IAM Benutzer auf. Sowohl Rollen als auch Benutzer sind AWS -Identitäten mit Berechtigungsrichtlinien, die bestimmen, was die Identität in AWS tun kann und was nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.
Rollen können wie folgt übernommen werden:
-
Ein IAM Benutzer in derselben AWS-Konto oder einer anderen AWS-Konto
-
IAMRollen im selben Konto
-
Dienstprinzipale zur Verwendung mit AWS Diensten und Funktionen wie:
-
Dienste, mit denen Sie Code auf Rechendiensten wie Amazon EC2 oder Λ ausführen können
-
Funktionen, die in Ihrem Namen Aktionen an Ihren Ressourcen ausführen, z. B. die Amazon S3 S3-Objektreplikation
-
Dienste, die temporäre Sicherheitsanmeldedaten für Ihre Anwendungen bereitstellen, die außerhalb von ausgeführt werden AWS, wie z. B. IAM Roles Anywhere oder Amazon ECS Anywhere
-
-
Ein externer Benutzer, der von einem externen Identity Provider (IdP) -Dienst authentifiziert wurde, der mit SAML 2.0 oder OpenID Connect kompatibel ist
-
- AWS Servicerolle
-
Eine Servicerolle ist eine IAMRolle, die ein Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM Administrator kann eine Servicerolle von innen heraus erstellen, ändern und löschenIAM. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen AWS -Service an eine.
- AWS Mit einem Dienst verknüpfte Rolle
-
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS -Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.
Anmerkung
Wenn Sie einen Service bereits verwenden, wenn er mit der Unterstützung serviceverknüpfter Rollen beginnt, erhalten Sie möglicherweise eine E-Mail zur Benachrichtigung über die neue Rolle in Ihrem Konto. In diesem Fall erstellt der Service die serviceverknüpfte Rolle automatisch in Ihrem Konto. Sie müssen keine Aktion zum Unterstützen dieser Rolle durchführen und Sie sollten sie nicht manuell löschen. Weitere Informationen finden Sie unter In meinem AWS -Konto wird eine neue Rolle angezeigt.
Informationen darüber, welche Services die Verwendung von serviceverknüpften Rollen unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Suchen Sie nach den Services, für die Yes in der Spalte Service-Linked Role angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle.
- Verketten von Rollen
-
Von Rollenverkettung spricht man, wenn Sie eine Rolle verwenden, um über das AWS CLI oder eine zweite Rolle anzunehmen. API Zum Beispiel:
RoleA
verfügt über die BerechtigungRoleB
anzunehmen. Sie können Benutzer1 die Übernahme ermöglichen,RoleA
indem Sie bei dem Vorgang dessen langfristige Benutzeranmeldedaten verwenden. AssumeRole API Diese gibt die kurzfristigen Anmeldeinformationen vonRoleA
zurück. Für das Verketten von Rollen können Sie die kurzfristigen Anmeldeinformationen vonRoleA
verwenden, um User1 zu ermöglichenRoleB
anzunehmen.Wenn Sie eine Rolle übernehmen, können Sie ein Sitzungs-Tag übergeben und dieses als transitiv festlegen. Transitive Sitzungs-Tags werden an alle nachfolgenden Sitzungen in einer Rollenkette übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie unter Sitzungs-Tags übergeben AWS STS.
Durch die Rollenverkettung wird Ihre Sitzung AWS CLI oder Ihre AWS API Rollensitzung auf maximal eine Stunde begrenzt. Wenn Sie die AssumeRoleAPIOperation verwenden, um eine Rolle anzunehmen, können Sie die Dauer Ihrer Rollensitzung mit dem
DurationSeconds
Parameter angeben. Sie können einen Parameterwert von bis zu 43200 Sekunden (12 Stunden) angeben, abhängig von der Einstellung maximale Sitzungsdauer für Ihre Rolle. Wenn Sie eine Rolle durch Verkettung übernehmen und für den ParameterDurationSeconds
einen Wert größer als eine Stunde angeben, schlägt die Operation jedoch fehl.AWS behandelt die Verwendung von Rollen zur Erteilung von Berechtigungen für Anwendungen, die auf EC2 Instanzen ausgeführt werden, nicht als Rollenverkettung.
- Delegierung
-
Die Erteilung von Berechtigungen für jemanden, um den Zugriff auf Ressourcen zu gewähren, die Sie kontrollieren. Die Delegierung beinhaltet die Einrichtung einer Vertrauensstellung zwischen zwei Konten. Das erste Konto ist Eigentümer der Ressource (das vertrauensvolle Konto). Das zweite Konto enthält die Benutzer, die auf die Ressource zugreifen müssen (das vertrauenswürdige Konto). Die vertrauenswürdigen und vertrauensvollen Konten können Folgende sein:
-
Das gleiche Konto.
-
Separate Konten, die beide von Ihrer Organisation kontrolliert werden.
-
Zwei Konten im Besitz von unterschiedlichen Organisationen.
Um die Zugriffsberechtigung für eine Ressource zu delegieren, erstellen Sie eine IAM Rolle in dem vertrauenswürdigen Konto, dem zwei Richtlinien zugeordnet sind. Die Berechtigungsrichtlinie erteilt dem Benutzer der Rolle die erforderlichen Berechtigungen zum Ausführen der vorgesehenen Aufgaben auf der Ressource. Die Vertrauensrichtlinie gibt an, welche vertrauenswürdigen Kontomitglieder die Rolle übernehmen dürfen.
Wenn Sie eine Vertrauensrichtlinie erstellen, können Sie keinen Platzhalter (*) als Teil und ARN im Hauptelement angeben. Die Vertrauensrichtlinie ist an die Rolle im vertrauenden Konto angefügt und eine Hälfte der Berechtigungen. Die andere Hälfte ist eine Berechtigungsrichtlinie, die dem Benutzer im vertrauenswürdigen Konto angefügt ist und zulässt, dass ein Benutzer zur Rolle wechselt bzw. diese übernimmt. Ein Benutzer, der eine Rolle übernimmt, gibt vorübergehend seine eigenen Berechtigungen auf und übernimmt stattdessen die Berechtigungen der Rolle. Wenn der Benutzer die Rolle beendet oder nicht mehr verwendet, werden die ursprünglichen Benutzerberechtigungen wiederhergestellt. Ein zusätzlicher Parameter namens external ID kann helfen, die sichere Verwendung von Rollen zwischen Konten sicherzustellen, die nicht von der gleichen Organisation kontrolliert werden.
-
- Vertrauensrichtlinie
-
Ein JSONRichtliniendokument, in dem Sie die Prinzipale definieren, denen Sie vertrauen, dass sie die Rolle übernehmen. Eine Rollenvertrauensrichtlinie ist eine erforderliche ressourcenbasierte Richtlinie, die einer Rolle in zugeordnet ist. IAM Zu den Auftraggeber, die Sie in der Vertrauensrichtlinie angeben können, gehören Benutzer, Rollen, Konten und Services.
- Rolle für kontoübergreifenden Zugriff
-
Eine Rolle gewährt Ressourcen in einem Konto Zugriff auf einen vertrauenswürdigen Auftraggeber in einem anderen Konto. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Bei einigen AWS Diensten können Sie jedoch eine Richtlinie direkt an eine Ressource anhängen (anstatt eine Rolle als Proxy zu verwenden). Diese werden als ressourcenbasierte Richtlinien bezeichnet und Sie können sie verwenden, um anderen Benutzern AWS-Konto Zugriff auf die Ressource zu gewähren. Einige dieser Ressourcen umfassen Amazon Simple Storage Service (S3) -Buckets, S3 Glacier-Tresore, Amazon Simple Notification Service (SNS) -Themen und Amazon Simple Queue Service (SQS) -Warteschlangen. Weitere Informationen darüber, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter Kontoübergreifender Ressourcenzugriff in IAM.
Weitere Ressourcen
Die folgenden Ressourcen können Ihnen helfen, mehr über die IAM Terminologie im Zusammenhang mit Rollen zu erfahren. IAM
-
Principals sind Entitäten AWS , die Aktionen ausführen und auf Ressourcen zugreifen können. Ein Principal kann ein Root-Benutzer des AWS-Kontos, ein IAM Benutzer oder eine Rolle sein. Ein Principal, der die Identität eines AWS Dienstes repräsentiert, ist ein Dienstprinzipal. Verwenden Sie das Principal-Element in Rollenvertrauensrichtlinien, um die Prinzipale zu definieren, denen Sie vertrauen, dass sie die Rolle übernehmen.
Weitere Informationen und Beispiele für Prinzipale, denen Sie erlauben können, eine Rolle zu übernehmen, finden Sie unter. AWS JSONpolitische Elemente: Principal
-
Ein Identitätsverbund schafft eine Vertrauensbeziehung zwischen einem externen Identitätsanbieter und. AWS Sie können Ihren vorhandenen OpenID Connect (OIDC) - oder Security Assertion Markup Language (SAML) 2.0-Anbieter verwenden, um zu verwalten, wer auf Ressourcen zugreifen kann. AWS Wenn Sie OIDC und SAML 2.0 verwenden, um eine Vertrauensstellung zwischen diesen externen Identitätsanbietern und zu konfigurieren AWS , wird dem Benutzer eine Rolle zugewiesen. IAM Der Benutzer erhält auch temporäre Anmeldeinformationen, die ihm den Zugriff auf Ihre AWS -Ressourcen ermöglichen.
Weitere Informationen zu Verbundbenutzern finden Sie unter Identitätsanbieter und Verbund.
-
Verbundbenutzer sind vorhandene Identitäten aus AWS Directory Service Ihrem Unternehmensbenutzerverzeichnis oder einem OIDC Anbieter. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird.
Weitere Informationen zu Verbundbenutzern finden Sie unter Verbundbenutzer und -rollen.
-
Berechtigungsrichtlinien sind identitätsbasierte Richtlinien, die definieren, welche Aktionen und Ressourcen die Rolle verwenden kann. Das Dokument wurde gemäß den Regeln der IAM Richtliniensprache verfasst.
Weitere Informationen finden Sie unter IAM-JSON-Richtlinienreferenz.
-
Bei Berechtigungsgrenzen handelt es sich um eine erweiterte Funktion, bei der Sie mithilfe von Richtlinien die maximalen Berechtigungen einschränken, die eine identitätsbasierte Richtlinie einer Rolle gewähren kann. Sie können eine Berechtigungsgrenze nicht auf eine servicegebundene Rolle anwenden.
Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten.