Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von IAM-Rollen
Bevor ein Benutzer, Anwendungen oder Services eine von Ihnen erstellte Rolle verwenden können, müssen Sie Berechtigungen zum Wechseln zu dieser Rolle erteilen. Sie können jede an Gruppen oder Benutzer angefügte Richtlinie verwenden, um die erforderlichen Berechtigungen zu erteilen. In diesem Abschnitt wird beschrieben, wie Sie Benutzern die Berechtigung zur Verwendung einer Rolle gewähren. Außerdem wird erläutert, wie der Benutzer über die AWS Management Console, die Tools for Windows PowerShell, die AWS Command Line Interface (AWS CLI) und die AssumeRole-API zu einer Rolle wechseln kann.
Wichtig
Wenn Sie die Rolle programmgesteuert anstatt in der IAM-Konsole erstellen, haben Sie die Möglichkeit, einen Path mit bis zu 512 Zeichen und einen RoleName mit bis zu 64 Zeichen hinzuzufügen. Wenn Sie jedoch eine Rolle mit der Funktion Rolle wechseln in der verwenden möchten AWS Management Console, dürfen und zusammen 64 Zeichen Path RoleName nicht überschreiten.
Sie können Rollen über die wechseln AWS Management Console. Sie können eine Rolle übernehmen, indem Sie eine - AWS CLI oder -API-Operation aufrufen oder eine benutzerdefinierte URL verwenden. Die verwendete Methode bestimmt, wer die Rolle annehmen und wie lange die Rollensitzung dauern kann. Bei der Verwendung von AssumeRole*-API-Vorgängen ist die von Ihnen angenommene IAM-Rolle die Ressource. Der Benutzer oder die Rolle, der/die AssumeRole*-API-Vorgänge aufruft, ist der Prinzipal.
Vergleichen von Methoden für die Nutzung von Rollen | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Methode der Übernahme der Rolle | Wer die Rolle annehmen kann | Methode zum Festlegen der Lebensdauer der Anmeldeinformationen | Lebensdauer der Anmeldeinformationen (min | max | Standard) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Management Console | Benutzer (durch Wechseln der Rollen) | Maximale Sitzungsdauer auf der Seite -Rollen-Zusammenfassung | 15 Min. | Maximale Sitzungsdauer² | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
assume-role-CLI- oder AssumeRole-API-Operation |
Benutzer oder Rolle¹ | duration-seconds CLI- oder DurationSeconds API-Parameter |
15 Min. | Maximale Sitzungsdauer² | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
assume-role-with-saml-CLI- oder AssumeRoleWithSAML-API-Operation |
Jeder Benutzer, der mit SAML authentifiziert wird | duration-seconds CLI- oder DurationSeconds API-Parameter |
15 Min. | Maximale Sitzungsdauer² | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
assume-role-with-web-identity-CLI- oder AssumeRoleWithWebIdentity-API-Operation |
Jeder Benutzer, der mit einem OIDC-Anbieter authentifiziert wurde | duration-seconds CLI- oder DurationSeconds API-Parameter |
15 Min. | Maximale Sitzungsdauer² | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konsolen-URL erstellt mit AssumeRole |
Benutzer oder Rolle | SessionDuration HTML-Parameter in der URL |
15 Min. | 12 Std. | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konsolen-URL erstellt mit AssumeRoleWithSAML |
Jeder Benutzer, der mit SAML authentifiziert wird | SessionDuration HTML-Parameter in der URL |
15 Min. | 12 Std. | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konsolen-URL erstellt mit AssumeRoleWithWebIdentity |
Jeder Benutzer, der mit einem OIDC-Anbieter authentifiziert wurde | SessionDuration HTML-Parameter in der URL |
15 Min. | 12 Std. | 1 Std. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
¹ Das Verwenden der Anmeldeinformationen für eine Rolle, um eine andere Rolle anzunehmen, wird als Verketten von Rollen bezeichnet. Wenn Sie die Verkettung von Rollen verwenden, sind Ihre neuen Anmeldeinformationen auf eine maximale Dauer von einer Stunde begrenzt. Wenn Sie Rollen verwenden, um Berechtigungen für Anwendungen zu erteilen, die auf EC2-Instances ausgeführt werden, unterliegen diese Anwendungen nicht dieser Einschränkung.
Diese Einstellung kann einen Wert zwischen 1 Stunde und 12 Stunden haben. Weitere Informationen zur maximalen Sitzungsdauer finden Sie unter Ändern einer Rolle. Diese Einstellung bestimmt die maximale Sitzungsdauer, die Sie anfordern können, wenn Sie die Anmeldeinformationen einer Rolle erhalten. Wenn Sie beispielsweise die AssumeRole*-API-Operationen verwenden, um eine Rolle zu übernehmen, können Sie mithilfe des DurationSeconds Parameters eine Sitzungslänge angeben. Verwenden Sie diesen Parameter, um die Länge der Rollensitzung von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle anzugeben. IAM-Benutzern wird die für die Rolle festgelegte maximale Sitzungsdauer oder die verbleibende Zeit in der Sitzung des Benutzers gewährt, je nachdem, welcher Wert geringer ist. Angenommen Sie, Sie eine maximale Dauer von 5 Stunden für eine Rolle festlegen. Ein IAM-Benutzer, der 10 Stunden lang bei der Konsole angemeldet wurde (ab dem Standardmaximum von 12), wechselt zur Rolle. Die verfügbare Rollensitzungsdauer beträgt 2 Stunden. Weitere Informationen zum Anzeigen des maximalen Werts für Ihre Rolle finden Sie unter Anzeigen der maximalen Sitzungsdauer für eine Rolle weiter unten auf dieser Seite.
Hinweise
-
Die Einstellung für die maximale Sitzungsdauer beschränkt keine Sitzungen, die von AWS -Services übernommen werden.
-
Die Anmeldeinformationen für AmazonAmazon EC2-IAM-Rollen unterliegen keinen maximalen Sitzungsdauern, die in der Rolle konfiguriert sind.
-
Damit Benutzer die aktuelle Rolle innerhalb einer Rollensitzung erneut übernehmen können, geben Sie den Rollen-ARN oder AWS-Konto -ARN als Prinzipal in der Rollenvertrauensrichtlinie an. AWS-Services , die Rechenressourcen wie Amazon EC2, Amazon ECS, Amazon EKS und Lambda bereitstellen, stellen temporäre Anmeldeinformationen bereit und aktualisieren diese Anmeldeinformationen automatisch. Dadurch wird sichergestellt, dass Sie immer über gültige Anmeldeinformationen verfügen. Für diese Dienste ist es nicht erforderlich, die aktuelle Rolle erneut anzunehmen, um temporäre Anmeldeinformationen zu erhalten. Wenn Sie jedoch beabsichtigen, Sitzungs-Tags oder eine Sitzungsrichtlinie zu übergeben, müssen Sie die aktuelle Rolle erneut annehmen. Informationen zum Ändern einer Rollenvertrauensrichtlinie zum Hinzufügen des ARN der Prinzipalrolle oder AWS-Konto des ARN finden Sie unter Ändern einer Rollenvertrauensrichtlinie (Konsole).
Themen
- Anzeigen der maximalen Sitzungsdauer für eine Rolle
- Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen
- Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Service übergeben kann
- Wechseln zu einer Rolle (Konsole)
- Wechseln zu einer IAM-Rolle (AWS CLI)
- Wechseln zu einer IAM-Rolle (Tools for Windows PowerShell)
- Zu einer IAM-Rolle (AWS API) wechseln
- Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden
- Widerrufen der temporären Sicherheitsanmeldeinformationen für IAM-Rollen
Anzeigen der maximalen Sitzungsdauer für eine Rolle
Sie können die maximale Sitzungsdauer für eine Rolle mithilfe der AWS Management Console oder mithilfe der - AWS CLI oder AWS -API angeben. Wenn Sie eine - AWS CLI oder -API-Operation verwenden, um eine Rolle zu übernehmen, können Sie einen Wert für den DurationSeconds Parameter angeben. Mit diesem Parameter können Sie die Dauer der Rollensitzung von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle festlegen. Bevor Sie den Parameter angeben, sollten Sie diese Einstellung für Ihre Rolle anzeigen. Wenn Sie einen Wert für den DurationSeconds-Parameter angeben, der höher als die maximale Einstellung ist, schlägt die Operation fehl.
So zeigen Sie die maximale Sitzungsdauer einer Rolle an (Konsole)
-
Wählen Sie im Navigationsbereich der IAM Console Roles (Rollen) aus.
-
Wählen Sie den Namen der Rolle, die Sie anzeigen möchten.
-
Neben Maximale Sitzungsdauer sehen Sie die maximale Sitzungsdauer, die für die Rolle gewährt wird. Dies ist die maximale Sitzungsdauer, die Sie in Ihrem - AWS CLI, - oder -API-Vorgang angeben können.
So zeigen Sie die maximale Sitzungsdauer einer Rolle an (AWS CLI)
-
Wenn Sie den Namen der Rolle, die Sie übernehmen möchten, nicht kennen, führen Sie den folgenden Befehl aus, um die Rollen im Konto aufzulisten:
-
Führen Sie zum Anzeigen der maximalen Sitzungsdauer einer Rolle folgenden Befehl. Anschließend zeigen Sie den Parameter für die maximale Sitzungsdauer an.
So zeigen Sie die maximale Sitzungsdauer einer Rolle an (AWS API)
-
Wenn Sie den Namen der Rolle, die Sie übernehmen möchten, nicht kennen, rufen Sie die folgende Operation auf, um die Rollen im Konto aufzulisten:
-
Führen Sie zum Anzeigen der maximalen Sitzungsdauer der Rolle die folgende Operation. Anschließend zeigen Sie den Parameter für die maximale Sitzungsdauer an.
