Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Methoden, um eine Rolle zu übernehmen
Bevor ein Benutzer, Anwendungen oder Services eine von Ihnen erstellte Rolle verwenden können, müssen Sie Berechtigungen zum Wechseln zu dieser Rolle erteilen. Sie können jede Richtlinie verwenden, die Gruppen oder Benutzern zugewiesen ist, um die erforderlichen Berechtigungen zu erteilen. In diesem Abschnitt wird beschrieben, wie Sie Benutzern die Berechtigung zur Verwendung einer Rolle gewähren. Außerdem wird erklärt, wie der Benutzer über die Tools für Windows AWS Management Console PowerShell, die AWS Command Line Interface
(AWS CLI) und die zu einer Rolle wechseln kann AssumeRoleAPI.
Wichtig
Wenn Sie eine Rolle programmgesteuert statt in der IAM Konsole erstellen, haben Sie die Möglichkeit, zusätzlich zu Path der Rolle bis zu 512 Zeichen hinzuzufügenRoleName, die bis zu 64 Zeichen lang sein können. Wenn Sie jedoch beabsichtigen, eine Rolle mit der Funktion „Rolle wechseln“ in der zu verwenden AWS Management Console, müssen Sie die Kombination verwenden Path und darf 64 RoleName Zeichen nicht überschreiten.
Sie können die Rollen von der aus wechseln AWS Management Console. Sie können eine Rolle übernehmen, indem Sie eine AWS CLI API OR-Operation aufrufen oder eine benutzerdefinierte Operation verwendenURL. Die verwendete Methode bestimmt, wer die Rolle annehmen und wie lange die Rollensitzung dauern kann. Wenn Sie AssumeRole* API Operationen verwenden, ist die IAM Rolle, die Sie annehmen, die Ressource. Der Benutzer oder die Rolle, die AssumeRole* API Operationen aufruft, ist der Prinzipal.
In der folgenden Tabelle werden Methoden für die Verwendung von Rollen verglichen.
| Methode der Übernahme der Rolle | Wer die Rolle annehmen kann | Methode zum Festlegen der Lebensdauer der Anmeldeinformationen | Lebensdauer der Anmeldeinformationen (min | max | Standard) |
|---|---|---|---|
| AWS Management Console | Benutzer (durch Wechseln der Rollen) | Maximale Sitzungsdauer auf der Seite -Rollen-Zusammenfassung | 15 Min. | Maximale Sitzungsdauer² | 1 Std. |
assume-roleCLIoder AssumeRoleAPIBetrieb |
Benutzer oder Rolle¹ | duration-secondsCLIoder DurationSeconds API Parameter |
15 Min. | Maximale Sitzungsdauer² | 1 Std. |
assume-role-with-samlCLIoder AssumeRoleWithSAMLAPIBetrieb |
Jeder Benutzer hat sich authentifiziert mit SAML | duration-secondsCLIoder Parameter DurationSeconds API |
15 Min. | Maximale Sitzungsdauer² | 1 Std. |
assume-role-with-web-identityCLIoder AssumeRoleWithWebIdentityAPIBetrieb |
Jeder Benutzer, der über einen Anbieter OIDC authentifiziert wurde | duration-secondsCLIoder Parameter DurationSeconds API |
15 Min. | Maximale Sitzungsdauer² | 1 Std. |
Konsole URL konstruiert mit AssumeRole |
Benutzer oder Rolle | SessionDurationHTMLParameter im URL |
15 Min. | 12 Std. | 1 Std. |
Konsole URL konstruiert mit AssumeRoleWithSAML |
Jeder Benutzer hat sich authentifiziert mit SAML | SessionDurationHTMLParameter in der URL |
15 Min. | 12 Std. | 1 Std. |
Konsole URL konstruiert mit AssumeRoleWithWebIdentity |
Jeder Benutzer, der über einen Anbieter OIDC authentifiziert wurde | SessionDurationHTMLParameter in der URL |
15 Min. | 12 Std. | 1 Std. |
¹ Das Verwenden der Anmeldeinformationen für eine Rolle, um eine andere Rolle anzunehmen, wird als Verketten von Rollen bezeichnet. Wenn Sie die Verkettung von Rollen verwenden, sind Ihre neuen Anmeldeinformationen auf eine maximale Dauer von einer Stunde begrenzt. Wenn Sie Rollen verwenden, um Anwendungen, die auf EC2 Instances ausgeführt werden, Berechtigungen zu erteilen, unterliegen diese Anwendungen nicht dieser Beschränkung.
Diese Einstellung kann einen Wert zwischen 1 Stunde und 12 Stunden haben. Weitere Informationen zur maximalen Sitzungsdauer finden Sie unter IAMRollenverwaltung. Diese Einstellung bestimmt die maximale Sitzungsdauer, die Sie anfordern können, wenn Sie die Anmeldeinformationen einer Rolle erhalten. Wenn Sie beispielsweise die API Operationen AssumeRole* verwenden, um eine Rolle anzunehmen, können Sie mithilfe des DurationSeconds Parameters eine Sitzungslänge angeben. Verwenden Sie diesen Parameter, um die Länge der Rollensitzung von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle anzugeben. IAMBenutzern, die in der Konsole die Rollen wechseln, wird die maximale Sitzungsdauer oder die verbleibende Zeit in ihrer Benutzersitzung gewährt, je nachdem, welcher Wert kürzer ist. Angenommen Sie, Sie eine maximale Dauer von 5 Stunden für eine Rolle festlegen. Ein IAM Benutzer, der seit 10 Stunden (außerhalb der standardmäßigen Höchstzahl von 12) bei der Konsole angemeldet ist, wechselt zu der Rolle. Die verfügbare Rollensitzungsdauer beträgt 2 Stunden. Weitere Informationen zum Anzeigen des maximalen Werts für Ihre Rolle finden Sie unter Aktualisieren Sie die maximale Sitzungsdauer für eine Rolle weiter unten auf dieser Seite.
Hinweise
-
Die Einstellung für die maximale Sitzungsdauer beschränkt keine Sitzungen, die von AWS -Services übernommen werden.
-
Die Anmeldeinformationen für EC2 IAM Amazon-Rollen unterliegen nicht der in der Rolle konfigurierten maximalen Sitzungsdauer.
-
Damit Benutzer die aktuelle Rolle innerhalb einer Rollensitzung wieder annehmen können, geben Sie die Rolle ARN oder AWS-Konto ARN als Principal in der Rollenvertrauensrichtlinie an. AWS -Services die Rechenressourcen wie AmazonEC2, AmazonECS, Amazon und Lambda bereitstellenEKS, stellen temporäre Anmeldeinformationen bereit und aktualisieren diese Anmeldeinformationen automatisch. Dadurch wird sichergestellt, dass Sie immer über gültige Anmeldeinformationen verfügen. Für diese Dienste ist es nicht erforderlich, die aktuelle Rolle erneut anzunehmen, um temporäre Anmeldeinformationen zu erhalten. Wenn Sie jedoch beabsichtigen, Sitzungs-Tags oder eine Sitzungsrichtlinie zu übergeben, müssen Sie die aktuelle Rolle erneut annehmen. Informationen darüber, wie Sie eine Vertrauensrichtlinie für Rollen ändern, um die ARN Hauptrollen hinzuzufügen AWS-Konto ARN, finden Sie unterEine Rollenvertrauensrichtlinie aktualisieren .
Themen
- Zu einer Rolle wechseln (Konsole)
- Zu einer IAM Rolle wechseln (AWS CLI)
- Zu einer IAM Rolle wechseln (Tools für Windows PowerShell)
- Zu einer IAM Rolle wechseln (AWS API)
- Verwenden Sie eine IAM Rolle, um Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden, Berechtigungen zu erteilen
- Instanzprofile verwenden
