Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Methoden, um eine Rolle zu übernehmen
Bevor ein Benutzer, Anwendungen oder Services eine von Ihnen erstellte Rolle verwenden können, müssen Sie Berechtigungen zum Wechseln zu dieser Rolle erteilen. Sie können jede Richtlinie verwenden, die Gruppen oder Benutzern angefügt ist, um die erforderlichen Berechtigungen zu gewähren. Nachdem die Berechtigungen erteilt wurden, kann der Benutzer eine Rolle über die AWS Management Console Tools für Windows PowerShell, die AWS Command Line Interface
(AWS CLI) und die AssumeRoleAPI übernehmen.
Wichtig
Wenn Sie die Rolle programmgesteuert anstatt in der IAM-Konsole erstellen, haben Sie die Möglichkeit, einen Path mit bis zu 512 Zeichen und einen RoleName mit bis zu 64 Zeichen hinzuzufügen. Wenn Sie jedoch beabsichtigen, eine Rolle mit der Funktion „Rolle wechseln“ in der zu verwenden AWS Management Console, dann die Kombination Path und RoleName darf 64 Zeichen nicht überschreiten.
Die Methode zur Übernahme der Rolle bestimmt, wer die Rolle übernehmen kann und wie lange die Rollensitzung dauern kann. Bei der Verwendung von AssumeRole*-API-Vorgängen ist die von Ihnen angenommene IAM-Rolle die Ressource. Der Benutzer oder die Rolle, der/die AssumeRole*-API-Vorgänge aufruft, ist der Prinzipal.
In der folgenden Tabelle werden die Methoden zur Rollenübernahme verglichen.
| Methode der Übernahme der Rolle | Wer die Rolle annehmen kann | Methode zum Festlegen der Lebensdauer der Anmeldeinformationen | Lebensdauer der Anmeldeinformationen (min | max | Standard) |
|---|---|---|---|
| AWS Management Console | Benutzer oder Rollen¹ (durch Rollenwechsel) | Maximale Sitzungsdauer auf der Seite -Rollen-Zusammenfassung | 15 Min. | Maximale Sitzungsdauer² | 1 Std. |
assume-role-CLI- oder AssumeRole-API-Operation |
Benutzer oder Rolle¹ | duration-seconds CLI- oder DurationSeconds API-Parameter |
15 Min. | Maximale Sitzungsdauer² | 1 Std. |
assume-role-with-saml-CLI- oder AssumeRoleWithSAML-API-Operation |
Jeder Benutzer, der mit SAML authentifiziert wird | duration-seconds CLI- oder DurationSeconds API-Parameter |
15 Min. | Maximale Sitzungsdauer² | 1 Std. |
assume-role-with-web-identity-CLI- oder AssumeRoleWithWebIdentity-API-Operation |
Jeder Benutzer, der über einen OIDC-Anbieter authentifiziert wurde | duration-seconds CLI- oder DurationSeconds API-Parameter |
15 Min. | Maximale Sitzungsdauer² | 1 Std. |
Konsolen-URL erstellt mit AssumeRole |
Benutzer oder Rolle | SessionDuration HTML-Parameter in der URL |
15 Min. | 12 Std. | 1 Std. |
Konsolen-URL erstellt mit AssumeRoleWithSAML |
Jeder Benutzer, der mit SAML authentifiziert wird | SessionDuration HTML-Parameter in der URL |
15 Min. | 12 Std. | 1 Std. |
Konsolen-URL erstellt mit AssumeRoleWithWebIdentity |
Jeder Benutzer, der über einen OIDC-Anbieter authentifiziert wurde | SessionDuration HTML-Parameter in der URL |
15 Min. | 12 Std. | 1 Std. |
¹ Die Verwendung der Anmeldeinformationen einer Rolle zur Übernahme einer anderen Rolle wird als Rollenverkettung bezeichnet. Wenn Sie die Rollenverkettung verwenden, ist die Sitzungsdauer der Rolle auf eine Stunde begrenzt. Dies gilt für AWS Management Console Rollenwechsel AWS CLI und API-Operationen. Diese Einschränkung gilt nicht für die anfängliche Übernahme einer Rolle anhand von Benutzeranmeldedaten oder für Anwendungen, die auf EC2 Amazon-Instances mithilfe von Instance-Profilen ausgeführt werden.
Diese Einstellung kann einen Wert zwischen 1 Stunde und 12 Stunden haben. Weitere Informationen zur maximalen Sitzungsdauer finden Sie unter IAM-Rollen-Verwaltung. Diese Einstellung bestimmt die maximale Sitzungsdauer, die Sie anfordern können, wenn Sie die Anmeldeinformationen einer Rolle erhalten. Wenn Sie beispielsweise die API-Operationen AssumeRole* verwenden, um eine Rolle anzunehmen, können Sie mithilfe des DurationSeconds Parameters eine Sitzungslänge angeben. Verwenden Sie diesen Parameter, um die Länge der Rollensitzung von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle anzugeben. IAM-Benutzern wird die für die Rolle festgelegte maximale Sitzungsdauer oder die verbleibende Zeit in der Sitzung des Benutzers gewährt, je nachdem, welcher Wert geringer ist. Angenommen Sie, Sie eine maximale Dauer von 5 Stunden für eine Rolle festlegen. Ein IAM-Benutzer, der 10 Stunden lang bei der Konsole angemeldet wurde (ab dem Standardmaximum von 12), wechselt zur Rolle. Die verfügbare Rollensitzungsdauer beträgt 2 Stunden. Weitere Informationen zum Anzeigen des maximalen Werts für Ihre Rolle finden Sie unter Aktualisieren der maximalen Sitzungsdauer für eine Rolle weiter unten auf dieser Seite.
Hinweise
-
Die Einstellung für die maximale Sitzungsdauer beschränkt keine Sitzungen, die von AWS -Services übernommen werden.
-
Die Anmeldeinformationen für Amazon EC2 IAM-Rollen unterliegen nicht der in der Rolle konfigurierten maximalen Sitzungsdauer.
-
Damit Benutzer die aktuelle Rolle innerhalb einer Rollensitzung wieder übernehmen können, geben Sie den Rollen-ARN oder AWS-Konto ARN als Principal in der Rollenvertrauensrichtlinie an. AWS-Services die Rechenressourcen wie Amazon EC2, Amazon ECS, Amazon EKS und Lambda bereitstellen, stellen temporäre Anmeldeinformationen bereit und aktualisieren diese Anmeldeinformationen automatisch. Dadurch wird sichergestellt, dass Sie immer über gültige Anmeldeinformationen verfügen. Für diese Dienste ist es nicht erforderlich, die aktuelle Rolle erneut anzunehmen, um temporäre Anmeldeinformationen zu erhalten. Wenn Sie jedoch beabsichtigen, Sitzungs-Tags oder eine Sitzungsrichtlinie zu übergeben, müssen Sie die aktuelle Rolle erneut annehmen. Informationen zum Ändern einer Rollenvertrauensrichtlinie zum Hinzufügen der Hauptrollen ARN oder AWS-Konto ARN finden Sie unterRollenvertrauensrichtlinie aktualisieren .
Themen
