Löschen von Rollen oder Instance-Profilen

Wenn Sie eine Rolle nicht mehr benötigen, empfehlen wir, dass Sie die Rolle und die zugehörigen Berechtigungen löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird.

Wenn die Rolle einer EC2-Instance zugeordnet wurde, können Sie die Rolle auch aus dem Instance-Profil entfernen und dieses dann löschen.

Warnung

Stellen Sie sicher, dass keine Amazon EC2 Instances mit der Rolle oder dem Instance-Profil ausgeführt werden, die Sie löschen möchten. Wenn Sie eine Rolle oder ein Instanceprofil löschen, das einer laufenden Instance zugeordnet ist, werden alle Anwendungen unterbrochen, die auf der Instance ausgeführt werden.

Wenn Sie eine Rolle nicht dauerhaft löschen möchten, können Sie sie deaktivieren. Ändern Sie dazu die Richtlinien der Rolle und widerrufen Sie dann alle aktuellen Sitzungen. Beispielsweise können Sie der Rolle, die den Zugriff auf alles in AWS verweigert, eine Richtlinie hinzufügen. Sie können die Vertrauensrichtlinie auch bearbeiten, um jeder Person, die versucht, die Rolle zu übernehmen, den Zugriff zu verweigern. Weitere Informationen zum Widerrufen von Sitzungen finden Sie unter Widerrufen der temporären Sicherheitsanmeldeinformationen für IAM-Rollen.

Anzeigen des Rollenzugriffs

Bevor Sie eine Rolle löschen, sollten Sie überprüfen, wann die Rolle zuletzt verwendet wurde. Verwenden Sie hierzu die AWS Management Console, die AWS CLI- oder die AWS-API. Sie sollten sich diese Informationen ansehen, weil Sie nicht jemandem den Zugriff entziehen wollen, der gerade die Rolle verwendet.

Das Datum der letzten Aktivität der Rolle stimmt möglicherweise nicht mit dem letzten auf der Registerkarte Access Advisor gemeldeten Datum überein. Auf der Registerkarte Access Advisor werden Aktivitäten nur für Services gemeldet, die laut der Berechtigungsrichtlinien der Rolle zulässig sind. Das Datum der letzten Aktivität der Rolle umfasst den letzten Versuch, auf einen Service in AWS zuzugreifen.

Anmerkung

Der Nachverfolgungs-Zeitraum für die letzte Aktivität einer Rolle und die Access-Advisor-Daten umfassen die letzten 400 Tage. Dieser Zeitraum kann kürzer sein, wenn Ihre Region diese Funktionen innerhalb des letzten Jahres zu unterstützen begonnen hat. Die Rolle könnte dann vor mehr als 400 Tagen verwendet worden sein. Weitere Informationen zum Nachverfolgungszeitraum finden Sie unter Wo AWS die Informationen zum letzten Zugriff nachverfolgt.

So zeigen Sie an, wann eine Rolle zuletzt verwendet wurde (Konsole):

1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im Navigationsbereich Roles.

3. Suchen Sie die Zeile der Rolle, deren Aktivität Sie anzeigen möchten. Sie können das Suchfeld verwenden, um die Ergebnisse einzuschränken. Zeigen Sie die Spalte Last activity (Letzte Aktivität) an, um die Anzahl der Tage seit der letzten Verwendung der Rolle anzuzeigen. Wenn die Rolle nicht innerhalb des Verfolgungszeitraums verwendet wurde, wird in der Tabelle None (Keine)angezeigt.

4. Wählen Sie den Namen der Rolle, um weitere Informationen anzuzeigen. Die Seite Summary (Zusammenfassung) der Rolle enthält auch Last activity (Letzte Aktivität), mit der Anzeige des Datums, an dem die Rolle zuletzt verwendet wurde. Wenn die Rolle innerhalb der letzten 400 Tage nicht verwendet wurde, zeigt Last activity (Letzte Aktivität) Not accessed in the tracking period (Kein Zugriff im nachverfolgungszeitraum) an.

So zeigen Sie an, wann eine Rolle zuletzt verwendet wurde (AWS CLI):

aws iam get-role - Führen Sie diesen Befehl aus, um Informationen über eine Rolle, einschließlich des RoleLastUsed-Objekts, zurückzugeben. Dieses Objekt enthält die LastUsedDate und die Region, in denen die Rolle zuletzt verwendet wurde. Wenn RoleLastUsed vorhanden ist, aber keinen Wert enthält, wurde die Rolle innerhalb des Verfolgungszeitraums nicht verwendet.

So zeigen Sie an, wann eine Rolle zuletzt verwendet wurde (AWS API):

GetRole - Rufen Sie diesen Vorgang auf, um Informationen über eine Rolle, einschließlich des RoleLastUsed-Objekts, zurückzugeben. Dieses Objekt enthält die LastUsedDate und die Region, in denen die Rolle zuletzt verwendet wurde. Wenn RoleLastUsed vorhanden ist, aber keinen Wert enthält, wurde die Rolle innerhalb des Verfolgungszeitraums nicht verwendet.

Löschen einer serviceverknüpften Rolle

Wenn die Rolle eine serviceverknüpfte Rolle ist, überprüfen Sie die Dokumentation für den verknüpften Service, um zu erfahren, wie Sie die Rolle löschen können. Sie können die serviceverknüpften Rollen in Ihrem Konto anzeigen, indem Sie zur IAM-Seite Roles der Konsole wechseln. Serviceverknüpfte Rollen werden mit dem Hinweis (Service-linked role) in der Spalte Trusted entities (Vertrauenswürdige Entitäten) der Tabelle angezeigt. Ein Banner auf der Seite Summary (Übersicht) für die Rolle zeigt ebenfalls an, dass es sich um eine serviceverknüpfte Rolle handelt.

Wenn der Service keine Dokumentation für das Löschen der serviceverknüpften Rolle enthält, können Sie die Rolle über die IAM-Konsole, die AWS CLI oder die API löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle.

Löschen einer IAM-Rolle (Konsole)

Wenn Sie über die AWS Management Console eine Rolle löschen, trennt IAM automatisch die verwalteten Richtlinien, die mit der Rolle verbunden sind. Außerdem werden alle eingebundenen Richtlinien gelöscht, die mit der Rolle verbunden sind. Außerdem werden alle Amazon-EC2-Instance-Profile gelöscht, die die Rolle enthalten.

Wichtig

In einigen Fällen kann eine Rolle mit einem Amazon EC2-Instance-Profil verbunden sein, und die Rolle und das Instance-Profil können denselben Namen haben. In diesem Fall können Sie die Rolle und das Instance-Profil über die AWS Management Console löschen. Diese Verknüpfung erfolgt automatisch für Rollen und Instance-Profile, die Sie in der Konsole erstellen. Wenn Sie die Rolle über die AWS CLI, Tools for Windows PowerShell oder die AWS-API erstellt haben, haben die Rolle und das Instanceprofil möglicherweise unterschiedliche Namen. In diesem Fall können Sie die Konsole nicht zum Löschen verwenden. Stattdessen müssen Sie mit der AWS CLI, Tools for Windows PowerShell oder der AWS-API zuerst die Rolle aus dem Instance-Profil entfernen. Sie müssen die Rolle dann in einem separaten Schritt löschen.

So löschen Sie eine Rolle (Konsole)

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im Navigationsbereich Roles (Rollen), und aktivieren Sie dann das Kontrollkästchen neben der Rolle, die Sie löschen möchten.

3. Wählen Sie oben auf der Seite Delete role (Rolle löschen).

4. Überprüfen Sie im Bestätigungsdialogfeld die Informationen zum letzten Zugriff; diese zeigen an, wann jede der ausgewählten Rollen zuletzt auf einen AWS-Service zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wenn Sie fortfahren möchten, geben Sie den Namen der Rolle in das Texteingabefeld ein und wählen Sie Löschen. Wenn Sie sich sicher sind, können Sie mit dem Löschen fortfahren, auch wenn die Informationen zum letzten Zugriff noch geladen werden.

Anmerkung

Sie können die Konsole nicht verwenden, um ein Instance-Profil zu löschen, es sei denn, es hat denselben Namen wie die Rolle. Außerdem müssen Sie das Instance-Profil im Rahmen des Vorgangs zum Löschen einer Rolle, wie im zuvor genannten Vorgang beschrieben, löschen. Um ein Instance-Profil zu löschen, ohne auch die Rolle zu löschen, müssen Sie die AWS CLI oder AWS-API verwenden. Weitere Informationen finden Sie in den folgenden Abschnitten.

Erstellen einer IAM-Rolle (AWS CLI)

Wenn Sie über die AWS CLI eine Rolle löschen, müssen Sie zuerst die Inline-Richtlinien löschen, die der Rolle zugeordnet sind. Sie müssen auch die mit der Rolle verknüpften verwalteten Richtlinien trennen. Wenn Sie das verbundene Instance-Profil, das die Rolle enthält, löschen möchten, müssen Sie es separat löschen.

So löschen Sie eine Rolle (AWS CLI)

1. Wenn Sie den Namen der Rolle, die Sie löschen möchten, nicht kennen, geben Sie den folgenden Befehl ein, um die Rollen in Ihrem Konto aufzulisten:

   aws iam list-roles

   Die Liste enthält den Amazon-Ressourcennamen (ARN) jeder Rolle. Verwenden Sie den Rollennamen, nicht den ARN, um sich auf Rollen mit den CLI-Befehlen zu beziehen. Wenn eine Rolle zum Beispiel folgenden ARN hat: arn:aws:iam::123456789012:role/myrole, verweisen Sie auf die Rolle als myrole.

2. Entfernen Sie die Rolle aus allen Instance-Profilen, mit denen die Rolle verbunden ist.

   1. Um alle Instance-Profile aufzulisten, denen die Rolle zugeordnet ist, geben Sie den folgenden Befehl ein:

      aws iam list-instance-profiles-for-role --role-name role-name

   2. Um die Rolle aus einem Instance-Profil zu entfernen, geben Sie den folgenden Befehl für jedes Instance-Profil ein:

      aws iam remove-role-from-instance-profile --instance-profile-name instance-profile-name --role-name role-name

3. Löschen Sie alle Richtlinien, die mit der Rolle verbunden sind.

   1. Um alle Inline-Richtlinien aufzulisten, die in der Rolle vorhanden sind, geben Sie den folgenden Befehl ein:

      aws iam list-role-policies --role-name role-name

   2. Um jede Inline-Richtlinie aus der Rolle zu löschen, geben Sie den folgenden Befehl für jede Richtlinie ein:

      aws iam delete-role-policy --role-name role-name --policy-name policy-name

   3. Um alle verwalteten Richtlinien aufzulisten, die der Rolle angefügt sind, geben Sie den folgenden Befehl ein:

      aws iam list-attached-role-policies --role-name role-name

   4. Um jede verwaltete Richtlinie von der Rolle zu trennen, geben Sie den folgenden Befehl für jede Richtlinie ein:

      aws iam detach-role-policy --role-name role-name --policy-arn policy-arn

4. Geben Sie den folgenden Befehl ein, um die Rolle zu löschen:

   aws iam delete-role --role-name role-name

5. Wenn Sie nicht vorhaben, die Instance-Profile, die der Rolle zugeordnet waren, wiederzuverwenden, geben Sie den folgenden Befehl ein, um sie zu löschen:

   aws iam delete-instance-profile --instance-profile-name instance-profile-name

Löschen einer IAM-Rolle (AWS-API)

Wenn Sie über die IAM-API eine Rolle löschen, müssen Sie zuerst die Inline-Richtlinien löschen, die der Rolle zugeordnet sind. Sie müssen auch die mit der Rolle verknüpften verwalteten Richtlinien trennen. Wenn Sie das verbundene Instance-Profil, das die Rolle enthält, löschen möchten, müssen Sie es separat löschen.

So löschen Sie eine Rolle (AWS-API)

1. Um alle Instance-Profile aufzulisten, mit denen eine Rolle verbunden ist, rufen Sie ListInstanceProfilesForRole auf.

   Um die Rolle aus allen Instance-Profilen zu entfernen, rufen Sie RemoveRoleFromInstanceProfile auf. Sie müssen den Rollennamen und den Instance-Profilnamen übergeben.

   Wenn Sie ein Instance-Profil, das mit der Rolle verbunden war, nicht wiederverwenden wollen, rufen Sie DeleteInstanceProfile auf, um es zu löschen.

2. Um alle Inline-Richtlinien für eine Rolle aufzulisten, rufen Sie ListRolePolicies auf.

   Um alle Inline-Richtlinien zu löschen, die der Rolle zugeordnet sind, rufen Sie DeleteRolePolicy auf. Sie müssen den Rollennamen und den Inline-Richtliniennamen übergeben.

3. Um alle verwalteten Richtlinien aufzulisten, die einer Rolle zugeordnet sind, rufen Sie ListAttachedRolePolicies auf.

   Um verwaltete Richtlinien, die der Rolle zugeordnet sind, zu trennen, rufen Sie DetachRolePolicy auf. Sie müssen den Rollennamen und den ARN der verwalteten Richtlinie übergeben.

4. Rufen Sie DeleteRole auf, um die Rolle zu löschen.

Ähnliche Informationen

Allgemeine Informationen zu Instance-Profilen finden Sie unter Verwenden von Instance-Profilen.

Allgemeine Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden von serviceverknüpften Rollen.