Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen - AWS Identitäts- und Zugriffsverwaltung
Erstellen oder Bearbeiten der RichtlinieBereitstellen von Informationen an den Benutzer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen

Wenn ein Administrator eine Rolle für kontenübergreifenden Zugriff erstellt, richtet er eine Vertrauensstellung zwischen dem Konto, zu dem die Rolle gehört, sowie den Ressourcen (vertrauendes Konto) und dem Konto ein, das die Benutzer enthält (vertrauenswürdiges Konto). Zu diesem Zweck gibt der Administrator des vertrauenswürdigen Kontos die Nummer des vertrauenswürdigen Kontos als Principal in der Vertrauensrichtlinie der Rolle an. Dadurch kann jeder Benutzer im vertrauenswürdigen Konto potenziell die Rolle übernehmen. Zum Abschließen der Konfiguration muss der Administrator des vertrauenswürdigen Kontos bestimmten Gruppen oder Benutzern in diesem Konto die Berechtigung zum Wechseln zu der Rolle erteilen.

So erteilen Sie die Berechtigung zum Wechseln einer Rolle

  1. Erstellen Sie als Administrator des vertrauenswürdigen Kontos eine neue Richtlinie für den Benutzer, oder bearbeiten Sie eine bestehende Richtlinie, um die erforderlichen Elemente hinzuzufügen. Details hierzu finden Sie unter Erstellen oder Bearbeiten der Richtlinie.

  2. Wählen Sie dann, wie Sie die Rolleninformationen freigeben möchten:

    • Link zur Rolle: Sie können den Benutzern einen Link zusenden, mit dem sie zur Seite Switch Role (Rolle wechseln) gelangen, auf der sämtliche Angaben bereits ausgefüllt sind.

    • Konto-ID oder Alias: Geben Sie jedem Benutzer den Rollennamen sowie die Konto-ID-Nummer oder den Konto-Alias. Der Benutzer öffnet dann die Seite Switch Role (Rolle wechseln) und gibt die Details manuell ein.

    Details hierzu finden Sie unter Bereitstellen von Informationen an den Benutzer.

Beachten Sie, dass Sie die Rollen nur wechseln können, wenn Sie sich als IAM-Benutzer, als SAML-Verbundrolle oder mit einer Web-Identitäts-Verbundrolle anmelden. Sie können keine Rollen wechseln, wenn Sie als Root-Benutzer des AWS-Kontos angemeldet sind.

Wichtig

Sie können in der AWS Management Console nicht zu einer Rolle wechseln, für die ein ExternalID-Wert erforderlich ist. Sie können nur zu einer solchen Rolle wechseln, indem Sie die AssumeRole-API aufrufen, die den ExternalId-Parameter unterstützt.

Hinweise

  • In diesem Thema werden die Richtlinien für einen Benutzer erörtert, da Sie letztendlich einem Benutzer die Berechtigungen zum Erledigen einer Aufgabe erteilen. Wir raten Ihnen jedoch davon ab, einem einzelnen Benutzer direkt Berechtigungen zu erteilen. Wenn ein Benutzer eine Rolle annimmt, werden ihm die mit dieser Rolle verknüpften Berechtigungen zugewiesen.

  • Wenn Sie in der AWS Management Console Rollen wechseln, verwendet die Konsole immer Ihre ursprünglichen Anmeldeinformationen zum Autorisieren des Wechsels. Dies gilt unabhängig davon, ob Sie sich als IAM-Benutzer, als SAML-verbundene Rolle oder mit einer Web-Identität verbundenen Rolle anmelden. Wenn Sie beispielsweise zu RoleA wechseln, verwendet IAM; die Anmeldeinformationen Ihres ursprünglichen Benutzers oder Ihrer verbundenen Rolle, um festzustellen, ob Sie RoleA annehmen dürfen. Wenn Sie dann versuchen, zu RolleB zu wechseln, während Sie RolleA verwenden, werden Ihre ursprünglichen Benutzer- oder Verbundrollen-Anmeldeinformationen verwendet, um Ihren Versuch zu autorisieren. Die Anmeldeinformationen für RoleA werden für diese Aktion nicht verwendet.

Erstellen oder Bearbeiten der Richtlinie

Eine Richtlinie, die dem Benutzer die Berechtigung zum Übernehmen einer Rolle gewährt, muss eine Anweisung enthalten, die für folgende Komponenten Allow gewährt:

  • sts:AssumeRole-Aktion

  • Amazon-Ressourcenname (ARN) der Rolle in einem ResourceElement

Benutzer, die diese Richtlinie erhalten, dürfen die Rolle der aufgelisteten Ressource wechseln (entweder über eine Gruppenmitgliedschaft oder direkt angehängt).

Anmerkung

Wenn Resource auf * gesetzt ist, kann der Benutzer jede Rolle in jedem Konto übernehmen, das dem Konto des Benutzers vertraut. (Mit anderen Worten, die Vertrauensrichtlinie der Rolle gibt das Konto des Benutzers als Principal an). Als bewährte Methode empfehlen wir, dass Sie das Prinzip der Mindestberechtigung anwenden und den vollständigen ARN nur für die Rollen festlegen, die der Benutzer benötigt.

Das folgende Beispiel zeigt eine Richtlinie, mit der der Benutzer Rollen in nur einem Konto übernehmen kann. Zudem verwendet die Richtlinie einen Platzhalter (*), um anzugeben, dass der Benutzer nur zu einer Rolle wechseln kann, wenn der Rollenname mit den Buchstaben Test beginnt.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::account-id:role/Test*"
  }
}
Anmerkung

Die Berechtigungen, die die Rolle dem Benutzer gewährt, werden nicht zu den Berechtigungen addiert, die dem Benutzer bereits gewährt wurden. Wenn ein Benutzer zu einer Rolle wechselt, verzichtet er vorübergehend auf seine ursprünglichen Berechtigungen und erhält die Berechtigungen, die durch die Rolle gewährt werden. Wenn der Benutzer die Rolle beendet, werden die ursprünglichen Benutzerberechtigungen automatisch wiederhergestellt. Angenommen, die Berechtigungen des Benutzers erlauben die Arbeit mit Amazon EC2-Instaces, aber die Berechtigungsrichtlinie der Rolle gewährt diese Berechtigungen nicht. In diesem Fall kann der Benutzer, während er die Rolle verwendet, nicht mit Amazon EC2-Instances in der Konsole arbeiten. Darüber hinaus funktionieren über AssumeRole abgerufene temporäre Anmeldeinformationen nicht programmgesteuert mit Amazon EC2-Instances.

Bereitstellen von Informationen an den Benutzer

Nachdem Sie eine Rolle erstellt und dem Benutzer die Berechtigungen zum Wechseln zu dieser Rolle gewährt haben, müssen Sie dem Benutzer Folgendes bereitstellen:

  • Der Name der Rolle

  • Konto-ID oder Kontoalias mit der Rolle

Sie können den Vorgang für Ihre Benutzer erleichtern, indem Sie ihnen einen Link zusenden, der mit der Konto-ID und dem Rollennamen vorkonfiguriert ist. Sie können den Link zur Rolle sehen, nachdem Sie den Assistenten zum Erstellen einer Rolle abgeschlossen haben, indem Sie das Banner Rolle anzeigen auswählen oder auf der Seite Rollenübersicht für jede kontoübergreifende Rolle klicken.

Sie können auch das folgende Format verwenden, um den Link manuell zu erstellen. Ersetzen Sie die beiden Parameter in der Anforderung durch Ihre Konto-ID bzw. den Alias und den Rollennamen.

https://signin.aws.amazon.com/switchrole?account=your_account_ID_or_alias&roleName=optional_path/role_name

Wir empfehlen Ihnen, Ihre Benutzer zum Thema Wechseln zu einer Rolle (Konsole) weiterzuleiten, um sie schrittweise durch den Prozess zu führen. Zur Behebung typischer Probleme beim Übernehmen einer Rolle vgl. Ich kann eine Rolle nicht übernehmen.

Überlegungen

  • Wenn Sie die Rolle programmatisch erstellen, können Sie einen Pfad und einen Namen angeben. In diesem Fall müssen Sie Ihren Benutzern den vollständigen Pfad und den Rollennamen zur Eingabe auf der Seite Switch Role (Rolle wechseln) der AWS Management Console bereitstellen. Beispiel: division_abc/subdivision_efg/role_XYZ.

  • Wenn Sie die Rolle programmatisch erstellen, können Sie einen Path von bis zu 512 Zeichen und einen RoleName hinzufügen. Er kann eine Länge von bis zu 64 Zeichen umfassen. Wenn Sie eine Rolle mit der Funktion "Switch Role" in der AWS Management Console verwenden möchten, dürfen Path und RoleName jedoch insgesamt nicht länger als 64 Zeichen sein.

  • Aus Sicherheitsgründen können Sie AWS CloudTrail-Protokolle überprüfen, um zu erfahren, wer eine Aktion in AWS ausgeführt hat. Sie können den sts:SourceIdentity-Bedingungsschlüssel in der Rollenvertrauensrichtlinie verwenden, damit Benutzer einen Sitzungsnamen angeben müssen, wenn sie eine Rolle übernehmen. Sie können beispielsweise verlangen, dass IAM-Benutzer ihren eigenen Benutzernamen als Sitzungsnamen angeben. Auf diese Weise können Sie feststellen, welcher Benutzer eine bestimmte Aktion in AWS ausgeführt hat. Weitere Informationen finden Sie unter sts:SourceIdentity. Sie können auch sts:RoleSessionName verwenden, um von den Benutzern zu verlangen, dass sie einen Sitzungsnamen angeben, wenn sie eine Rolle übernehmen. Auf diese Weise können Sie zwischen Rollensitzungen unterscheiden, wenn eine Rolle von verschiedenen Auftraggeber verwendet wird.