Verwenden von IAM-Rollen - AWS Identity and Access Management

Verwenden von IAM-Rollen

Bevor IAM-Benutzer, Anwendungen oder Services eine von Ihnen erstellte Rolle verwenden können, müssen Sie Berechtigungen zum Wechseln zu dieser Rolle erteilen. Sie können eine beliebige, einem der IAM-Benutzer oder -Gruppen angefügte Richtlinie oder eine dem Benutzer selbst angefügte Richtlinie verwenden, um die erforderlichen Berechtigungen zu erteilen. In diesem Abschnitt wird beschrieben, wie Sie einem Benutzer die Berechtigung zum Verwenden einer Rolle erteilen und wie der Benutzer mit der AWS Management Console, Tools für Windows PowerShell, AWS Command Line Interface (AWS CLI) und der AssumeRole-API eine Rolle wechseln kann.

Wichtig

Wenn Sie die Rolle programmgesteuert anstatt in der IAM-Konsole erstellen, haben Sie die Möglichkeit, einen Path mit bis zu 512 Zeichen und einen RoleName mit bis zu 64 Zeichen hinzuzufügen. Wenn Sie jedoch eine Rolle mit der Funktion Switch Role (Rolle wechseln) in der AWS-Konsole verwenden möchten, dürfen Path und RoleName insgesamt nicht länger als 64 Zeichen sein.

Sie können Rollen von der AWS Management Console aus wechseln. Sie können eine Rolle annehmen, indem Sie eine AWS CLI- oder API-Operation aufrufen oder eine benutzerdefinierte URL verwenden. Die verwendete Methode bestimmt, wer die Rolle annehmen und wie lange die Rollensitzung dauern kann.

Vergleichen von Methoden für die Nutzung von Rollen
Methode Wer die Rolle annehmen kann Methode zum Festlegen der Lebensdauer der Anmeldeinformationen Lebensdauer der Anmeldeinformationen (min | max | Standard)
AWS Management Console IAM-Benutzer (durch Wechseln der Rollen) Keine 1 Std. | 1 Std. | 1 Std.
assume-role-CLI- oder AssumeRole-API-Operation IAM-Benutzer oder Rolle¹ duration-seconds CLI- oder DurationSeconds API-Parameter 15 Min. | Maximale Sitzungsdauer² | 1 Std.
assume-role-with-saml-CLI- oder AssumeRoleWithSAML-API-Operation Jeder Benutzer, der mit SAML authentifiziert wird duration-seconds CLI- oder DurationSeconds API-Parameter 15 Min. | Maximale Sitzungsdauer² | 1 Std.
assume-role-with-web-identity-CLI- oder AssumeRoleWithWebIdentity-API-Operation Jeder Benutzer, der über einen Web-Identitätsanbieter authentifiziert wird duration-seconds CLI- oder DurationSeconds API-Parameter 15 Min. | Maximale Sitzungsdauer² | 1 Std.
Konsolen-URL erstellt mit AssumeRole IAM-Benutzer oder Rolle SessionDuration HTML-Parameter in der URL 15 Min. | 12 Std. | 1 Std.
Konsolen-URL erstellt mit AssumeRoleWithSAML Jeder Benutzer, der mit SAML authentifiziert wird SessionDuration HTML-Parameter in der URL 15 Min. | 12 Std. | 1 Std.
Konsolen-URL erstellt mit AssumeRoleWithWebIdentity Jeder Benutzer, der über einen Web-Identitätsanbieter authentifiziert wird SessionDuration HTML-Parameter in der URL 15 Min. | 12 Std. | 1 Std.

¹ Das Verwenden der Anmeldeinformationen für eine Rolle, um eine andere Rolle anzunehmen, wird als Verketten von Rollen bezeichnet. Wenn Sie die Verkettung von Rollen verwenden, sind Ihre neuen Anmeldeinformationen auf eine maximale Dauer von einer Stunde begrenzt. Wenn Sie Rollen verwenden, um Berechtigungen für Anwendungen zu erteilen, die auf EC2-Instances ausgeführt werden, unterliegen diese Anwendungen nicht dieser Einschränkung.

² Die maximale Sitzungsdauer ist eine Einstellung, die Sie auf eine Rolle aus der Konsole, der AWS CLI oder der API anwenden können. Diese Einstellung gibt die maximale Sitzungsdauer für die Rolle an, wenn sie von der CLI oder API angenommen wird. Diese Einstellung kann einen Wert zwischen einer Stunde und zwölf Stunden haben. Weitere Informationen zur maximalen Sitzungsdauer finden Sie unter Ändern einer Rolle. Diese Einstellung bestimmt die maximale Sitzungsdauer, die Sie anfordern können, wenn Sie die Anmeldeinformationen einer Rolle erhalten. Beispiel: Wenn Sie die AssumeRole*-API-Operationen verwenden, um eine Rolle anzunehmen, können Sie mit dem DurationSeconds-Parameter eine Sitzungslänge angeben. Verwenden Sie diesen Parameter, um die Länge der Rollensitzung von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle anzugeben. Weitere Informationen zum Anzeigen des maximalen Werts für Ihre Rolle finden Sie unter Anzeigen der maximalen Sitzungsdauer für eine Rolle weiter unten auf dieser Seite.

Anmerkung

Die maximale Sitzungsdauer-Einstellung gilt nur für Sitzungen, die mittels AssumeRole*-API-Operationen oder assume-role*-CLI-Befehlen erstellt wurden. Diese Einstellung beschränkt keine Sitzungen, die von AWS-Services übernommen werden.

Anzeigen der maximalen Sitzungsdauer für eine Rolle

Wenn Sie eine AWS CLI- oder API-Operation verwenden, um eine Rolle anzunehmen, können Sie einen Wert für den DurationSeconds-Parameter angeben. Sie können diesen Parameter verwenden, um die Dauer der Rollensitzung von 900 Sekunden (15 Minuten) bis zur Einstellung Maximum CLI/API session duration (Maximale CLI-/API-Sitzungsdauer) für die Rolle anzugeben. Bevor Sie den Parameter angeben, sollten Sie diese Einstellung für Ihre Rolle anzeigen. Wenn Sie einen Wert für den DurationSeconds-Parameter angeben, der höher als die maximale Einstellung ist, schlägt die Operation fehl.

So zeigen Sie die maximale Sitzungsdauer einer Rolle an (Konsole)

  1. Wählen Sie im Navigationsbereich der IAM-Konsole Roles (Rollen) aus.

  2. Wählen Sie den Namen der Rolle, die Sie anzeigen möchten.

  3. Zeigen Sie neben Maximum CLI/API session duration (Maximale API-/API-Sitzungsdauer) die maximale Sitzungslänge an, die Sie in Ihrer AWS CLI- oder API-Operation festlegen können.

So zeigen Sie die maximale Sitzungsdauer einer Rolle an (AWS CLI)

  1. Wenn Sie den Namen der Rolle, die Sie übernehmen möchten, nicht kennen, führen Sie den folgenden Befehl aus, um die Rollen im Konto aufzulisten:

  2. Führen Sie zum Anzeigen der maximalen Sitzungsdauer einer Rolle folgenden Befehl aus. Anschließend zeigen Sie den Parameter für die maximale Sitzungsdauer an.

So zeigen Sie die Einstellung der maximalen Sitzungsdauer einer Rolle an (AWS-API)

  1. Wenn Sie den Namen der Rolle, die Sie übernehmen möchten, nicht kennen, rufen Sie die folgende Operation auf, um die Rollen im Konto aufzulisten:

  2. Führen Sie zum Anzeigen der maximalen Sitzungsdauer der Rolle die folgende Operation aus. Anschließend zeigen Sie den Parameter für die maximale Sitzungsdauer an.