Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Eine Rollenvertrauensrichtlinie aktualisieren
Um zu ändern, wer eine Rolle übernehmen kann, müssen Sie die Vertrauensrichtlinie der Rolle bearbeiten. Sie können die Vertrauensrichtlinie für eine serviceverknüpfte Rolle nicht ändern.
Hinweise
-
Wenn ein Benutzer als Auftraggeber in der Vertrauensrichtlinie einer Rolle aufgeführt ist, aber die Rolle nicht übernehmen kann, überprüfen Sie die Berechtigungsgrenze des Benutzers. Wenn eine Berechtigungsgrenze für den Benutzer festgelegt ist, dann muss sie die
sts:AssumeRole-Aktion zulassen. -
Damit Benutzer innerhalb einer Rollensitzung wieder die aktuelle Rolle übernehmen können, geben Sie die Rolle ARN oder AWS-Konto ARN als Principal in der Rollenvertrauensrichtlinie an. AWS-Services die Rechenressourcen wie AmazonEC2, AmazonECS, Amazon und Lambda bereitstellenEKS, stellen temporäre Anmeldeinformationen bereit und aktualisieren diese Anmeldeinformationen automatisch. Dadurch wird sichergestellt, dass Sie immer über gültige Anmeldeinformationen verfügen. Für diese Dienste ist es nicht erforderlich, die aktuelle Rolle erneut anzunehmen, um temporäre Anmeldeinformationen zu erhalten. Wenn Sie jedoch beabsichtigen, Sitzungs-Tags oder eine Sitzungsrichtlinie zu übergeben, müssen Sie die aktuelle Rolle erneut annehmen.
Aktualisierung einer Vertrauensrichtlinie für Rollen (Konsole)
Um eine Rollenvertrauensrichtlinie in der AWS Management Console
Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich der IAM Konsole Rollen aus.
-
Wählen Sie in der Rollenliste in Ihrem Konto den Namen der zu ändernden Rolle.
-
Wählen Sie die Registerkarte Trust Relationships (Vertrauensstellungen) und dann Edit trust policy (Vertrauensrichtlinie bearbeiten) aus.
-
Bearbeiten Sie die Vertrauensrichtlinie nach Bedarf. Um weitere Auftraggeber hinzuzufügen, die die Rolle übernehmen können, geben Sie sie im
Principal-Element an. Der folgende Richtlinienausschnitt zeigt beispielsweise, wie Sie AWS-Konten im Element auf zwei Elemente verweisen:Principal"Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },Wenn Sie einen Auftraggeber in einem anderen Konto angeben, ist das Hinzufügen eines Kontos zur Vertrauensrichtlinie einer Rolle nur die Hälfte der Einrichtung einer kontoübergreifenden Vertrauensbeziehung. Standardmäßig kann kein Benutzer in den vertrauenswürdigen Konten die Rolle übernehmen. Der Administrator für das neue vertrauenswürdige Konto muss den Benutzern die Berechtigung erteilen, die Rolle zu übernehmen. Dazu muss der Administrator eine Richtlinie erstellen oder bearbeiten, die an den Benutzer angehängt ist, um dem Benutzer den Zugriff auf die Aktion
sts:AssumeRolezu ermöglichen. Weitere Informationen finden Sie im folgenden Verfahren oder unter Erteilen Sie einem Benutzer die Erlaubnis, die Rollen zu wechseln.Der folgende Richtlinienausschnitt zeigt, wie auf zwei AWS Dienste im Element verwiesen wird:
Principal"Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] }, -
Wenn Sie die Bearbeitung Ihrer Vertrauensrichtlinie abgeschlossen haben, wählen Sie Update policy (Richtlinie aktualisieren), um Ihre Änderungen zu speichern.
Weitere Informationen über die Richtlinienstruktur und -syntax finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management und IAMJSONReferenz zum politischen Element.
So erteilen Sie Benutzern in einem vertrauenswürdigen Konto die Berechtigung zur Verwendung der Rolle (Konsole)
Weitere Informationen und Details zu dieser Vorgehensweise finden Sie unter Erteilen Sie einem Benutzer die Erlaubnis, die Rollen zu wechseln.
-
Melden Sie sich bei dem vertrauenswürdigen externen Anbieter an. AWS-Konto
-
Legen Sie fest, ob die Berechtigungen einem Benutzer oder einer Gruppe angefügt werden. Wählen Sie im Navigationsbereich der IAM Konsole entsprechend Benutzer oder Benutzergruppen aus.
-
Wählen Sie den Namen des Benutzers oder der Gruppe aus, der Sie die Zugriffsberechtigung erteilen möchten, und klicken Sie auf die Registerkarte Permissions (Berechtigungen).
-
Führen Sie eine der folgenden Aktionen aus:
-
Um eine vom Kunden verwaltete Richtlinie zu bearbeiten, wählen Sie den Namen der Richtlinie aus, klicken Sie auf Richtlinie bearbeiten und wählen Sie dann die JSONRegisterkarte aus. Sie können eine AWS verwaltete Richtlinie nicht bearbeiten. AWS Verwaltete Richtlinien werden mit dem AWS Symbol (
) angezeigt. Weitere Informationen zum Unterschied zwischen von AWS und vom Kunden verwaltete Richtlinien finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien. -
Um eine Inlinerichtlinie zu bearbeiten, wählen Sie den Pfeil neben dem Namen der Richtlinie und dann Edit policy (Richtlinie bearbeiten).
-
-
Fügen Sie im Richtlinien-Editor ein neues
Statement-Element hinzu, welches folgende Angaben macht:{ "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME" }Ersetzen Sie das ARN in der Anweisung durch das ARN der Rolle, die der Benutzer annehmen kann.
-
Folgen Sie den Anweisungen auf dem Bildschirm, um die Bearbeitung der Richtlinie abzuschließen.
Aktualisierung einer Vertrauensrichtlinie für Rollen (AWS CLI)
Sie können das verwenden AWS CLI , um zu ändern, wer eine Rolle übernehmen kann.
So ändern Sie eine Rollenvertrauensrichtinie (AWS CLI)
-
(Optional) Wenn Sie den Namen der Rolle, die Sie ändern möchten, nicht kennen, führen Sie den folgenden Befehl aus, um die Rollen im Konto aufzulisten:
-
(Optional) Um die aktuelle Vertrauensrichtlinie einer Rolle anzuzeigen, führen Sie den folgenden Befehl aus:
-
Um die vertrauenswürdigen Auftraggeber zu ändern, die auf die Rolle zugreifen können, erstellen Sie eine Textdatei mit der aktualisierten Vertrauensrichtlinie. Sie können zum Erstellen der Richtlinie einen beliebigen Texteditor verwenden.
Die folgende Vertrauensrichtlinie zeigt, wie auf zwei AWS-Konten im
Principal-Element verwiesen wird. Auf diese Weise können Benutzer innerhalb von zwei getrennten AWS-Konten Benutzern diese Rolle übernehmen.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }Wenn Sie einen Auftraggeber in einem anderen Konto angeben, ist das Hinzufügen eines Kontos zur Vertrauensrichtlinie einer Rolle nur die Hälfte der Einrichtung einer kontoübergreifenden Vertrauensbeziehung. Standardmäßig kann kein Benutzer in den vertrauenswürdigen Konten die Rolle übernehmen. Der Administrator für das neue vertrauenswürdige Konto muss den Benutzern die Berechtigung erteilen, die Rolle zu übernehmen. Dazu muss der Administrator eine Richtlinie erstellen oder bearbeiten, die an den Benutzer angehängt ist, um dem Benutzer den Zugriff auf die Aktion
sts:AssumeRolezu ermöglichen. Weitere Informationen finden Sie im folgenden Verfahren oder unter Erteilen Sie einem Benutzer die Erlaubnis, die Rollen zu wechseln. -
Um die soeben erstellte Datei zur Aktualisierung der Vertrauensrichtlinie zu verwenden, führen Sie den folgenden Befehl aus:
So erteilen Sie Benutzern in einem vertrauenswürdigen Konto die Berechtigung zur Verwendung der Rolle (AWS CLI)
Weitere Informationen und Details zu dieser Vorgehensweise finden Sie unter Erteilen Sie einem Benutzer die Erlaubnis, die Rollen zu wechseln.
-
Erstellen Sie eine JSON Datei, die eine Berechtigungsrichtlinie enthält, die Berechtigungen zur Übernahme der Rolle gewährt. Die folgende Richtlinie enthält beispielsweise die erforderlichen Mindestberechtigungen:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }Ersetzen Sie das ARN in der Anweisung durch das ARN der Rolle, die der Benutzer annehmen kann.
-
Führen Sie den folgenden Befehl aus, um die JSON Datei hochzuladen, die die Vertrauensrichtlinie enthältIAM:
Die Ausgabe dieses Befehls beinhaltet die ARN der Richtlinie. Notieren Sie sich diesARN, da Sie es in einem späteren Schritt benötigen werden.
-
Legen Sie fest, welchem Benutzer oder welcher Gruppe Sie die Richtlinie anfügen. Wenn Sie den Namen des betreffenden Benutzers oder der Gruppe nicht kennen, geben Sie einen der folgenden Befehle ein, um die Benutzer oder Gruppen im Konto aufzulisten:
-
Verwenden Sie einen der folgenden Befehle, um die im vorherigen Schritt erstellte Richtlinie an einen Benutzer oder eine Gruppe anzufügen:
Aktualisierung einer Vertrauensrichtlinie für Rollen ()AWS API
Sie können das verwenden AWS API, um zu ändern, wer eine Rolle übernehmen kann.
Um eine Vertrauensrichtlinie für eine Rolle zu ändern (AWS API)
-
(Optional) Wenn Sie den Namen der Rolle, die Sie ändern möchten, nicht kennen, rufen Sie die folgende Operation auf, um die Rollen im Konto aufzulisten:
-
(Optional) Um die aktuelle Vertrauensrichtlinie einer Rolle anzuzeigen, rufen Sie die folgende Operation auf:
-
Um die vertrauenswürdigen Auftraggeber zu ändern, die auf die Rolle zugreifen können, erstellen Sie eine Textdatei mit der aktualisierten Vertrauensrichtlinie. Sie können zum Erstellen der Richtlinie einen beliebigen Texteditor verwenden.
Die folgende Vertrauensrichtlinie zeigt, wie auf zwei AWS-Konten im
Principal-Element verwiesen wird. Auf diese Weise können Benutzer innerhalb von zwei getrennten AWS-Konten Benutzern diese Rolle übernehmen.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }Wenn Sie einen Auftraggeber in einem anderen Konto angeben, ist das Hinzufügen eines Kontos zur Vertrauensrichtlinie einer Rolle nur die Hälfte der Einrichtung einer kontoübergreifenden Vertrauensbeziehung. Standardmäßig kann kein Benutzer in den vertrauenswürdigen Konten die Rolle übernehmen. Der Administrator für das neue vertrauenswürdige Konto muss den Benutzern die Berechtigung erteilen, die Rolle zu übernehmen. Dazu muss der Administrator eine Richtlinie erstellen oder bearbeiten, die an den Benutzer angehängt ist, um dem Benutzer den Zugriff auf die Aktion
sts:AssumeRolezu ermöglichen. Weitere Informationen finden Sie im folgenden Verfahren oder unter Erteilen Sie einem Benutzer die Erlaubnis, die Rollen zu wechseln. -
Um die soeben erstellte Datei zur Aktualisierung der Vertrauensrichtlinie zu verwenden, führen Sie die folgende Operation aus:
Um Benutzern mit einem vertrauenswürdigen externen Konto die Verwendung der Rolle (AWS API) zu ermöglichen
Weitere Informationen und Details zu dieser Vorgehensweise finden Sie unter Erteilen Sie einem Benutzer die Erlaubnis, die Rollen zu wechseln.
-
Erstellen Sie eine JSON Datei, die eine Berechtigungsrichtlinie enthält, die Berechtigungen zur Übernahme der Rolle gewährt. Die folgende Richtlinie enthält beispielsweise die erforderlichen Mindestberechtigungen:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }Ersetzen Sie das ARN in der Anweisung durch das ARN der Rolle, die der Benutzer annehmen kann.
-
Rufen Sie den folgenden Vorgang auf, um die JSON Datei hochzuladen, die die Vertrauensrichtlinie enthältIAM:
Die Ausgabe dieses Vorgangs beinhaltet die ARN der Richtlinie. Notieren Sie sich diesARN, da Sie es in einem späteren Schritt benötigen werden.
-
Legen Sie fest, welchem Benutzer oder welcher Gruppe Sie die Richtlinie anfügen. Wenn Sie den Namen des betreffenden Benutzers oder der Gruppe nicht kennen, rufen Sie eine der folgenden Operationen auf, um die Benutzer oder Gruppen im Konto aufzulisten:
-
Rufen Sie eine der folgenden Operationen auf, um die im vorherigen Schritt erstellte Richtlinie an einen Benutzer oder eine Gruppe anzufügen:
