IAM-Rollen-Verwaltung

Bevor ein Benutzer, Anwendungen oder Services eine von Ihnen erstellte Rolle verwenden können, müssen Sie Berechtigungen zum Wechseln zu dieser Rolle erteilen. Sie können jede Richtlinie verwenden, die Gruppen oder Benutzern angefügt ist, um die erforderlichen Berechtigungen zu gewähren. In diesem Abschnitt wird beschrieben, wie Sie Benutzern die Berechtigung zur Verwendung einer Rolle gewähren. Außerdem wird erläutert, wie der Benutzer aus der AWS Management Console, die Tools for Windows PowerShell, die AWS Command Line Interface (AWS CLI) und die AssumeRole API.

Wichtig

Wenn Sie die Rolle programmgesteuert anstatt in der IAM-Konsole erstellen, haben Sie die Möglichkeit, einen Path mit bis zu 512 Zeichen und einen RoleName mit bis zu 64 Zeichen hinzuzufügen. Wenn Sie jedoch eine Rolle mit dem Feature Rolle wechseln in der AWS Management Console-Konsole verwenden möchten, dürfen Path und RoleName insgesamt nicht länger als 64 Zeichen sein.

Themen

• Anzeigen des Rollenzugriffs
• Generieren einer Richtlinie basierend auf Zugriffsinformationen
• Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel
• Gewähren von Berechtigungen für einen Benutzer zum Übergeben einer Rolle an einen AWS-Service
• Temporäre Sicherheitsanmeldeinformationen der IAM-Rolle widerrufen
• Serviceverknüpfte Rolle aktualisieren
• Rollenvertrauensrichtlinie aktualisieren
• Berechtigungen für eine Rolle aktualisieren
• Aktualisieren der Einstellungen für eine Rolle
• Rollen oder Instance-Profile löschen

Anzeigen des Rollenzugriffs

Bevor Sie die Berechtigungen für eine Rolle ändern, sollten Sie ihre kürzliche Service-Level-Aktivität überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der Informationen zum letzten Zugriff.

Generieren einer Richtlinie basierend auf Zugriffsinformationen

Manchmal können Sie einer IAM-Entität (Benutzer oder Rolle) Berechtigungen erteilen, die über das hinausgehen, was diese benötigen. Um Ihnen beim Verfeinern der Berechtigungen zu helfen, können Sie eine IAM-Richtlinie generieren, die auf der Zugriffsaktivität für eine Entity basiert. IAM Access Analyzer prüft Ihre AWS CloudTrail-Protokolle und generiert eine Richtlinienvorlage, die die Berechtigungen enthält, die von der Rolle im angegebenen Datumsbereich verwendet wurden. Sie können die Vorlage verwenden, um eine verwaltete Richtlinie mit definierten Berechtigungen zu erstellen und sie dann an die IAM-Rolle anzuhängen. Auf diese Weise gewähren Sie nur die Berechtigungen, die die Rolle benötigt, um mit AWS-Ressourcen für Ihren spezifischen Anwendungsfall zu interagieren. Weitere Informationen finden Sie unter Richtliniengenerierung für IAM Access Analyzer.