Wechseln zu einer Rolle (Konsole) - AWS Identitäts- und Zugriffsverwaltung
Wissenswerte Informationen zum Wechseln von Rollen in der Konsole

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wechseln zu einer Rolle (Konsole)

Eine Rolle legt eine Gruppe von Berechtigungen fest, die Sie für den Zugriff auf AWS-Ressourcen, die Sie benötigen, verwenden können. In dieser Hinsicht ist sie mit einem IAM-BenutzerAWS Identity and Access Management vergleichbar. Wenn Sie sich als Benutzer anmelden, erhalten Sie einen bestimmten Satz von Berechtigungen. Sie melden sich nicht bei einer Rolle an, aber sobald Sie angemeldet sind, können Sie zu einer Rolle wechseln. Dadurch werden Ihre ursprünglichen Benutzerberechtigungen vorübergehend zurückgestellt und Sie erhalten stattdessen die der Rolle zugewiesenen Berechtigungen. Die Rolle kann sich in Ihrem eigenen Konto oder jedem anderen AWS-Konto befinden. Weitere Informationen zu Rollen, ihren Vorteilen sowie zu ihrer Erstellung finden Sie unter IAM-Rollen und Erstellen von IAM-Rollen.

Wichtig

Die Berechtigungen Ihres -Benutzers und alle Rollen, zu denen Sie wechseln, können nicht kumuliert werden. Es ist nur jeweils ein Satz von Berechtigungen aktiv. Wenn Sie zu einer Rolle wechseln, geben Sie Ihre Benutzerberechtigungen temporär auf und arbeiten mit den Berechtigungen, die der Rolle zugeordnet sind. Wenn Sie die Rolle verlassen, werden Ihre Benutzerberechtigungen automatisch wiederhergestellt.

Wenn Sie in der AWS Management Console Rollen wechseln, verwendet die Konsole immer Ihre ursprünglichen Anmeldeinformationen zum Autorisieren des Wechsels. Dies gilt unabhängig davon, ob Sie sich als IAM-Benutzer, als Benutzer im IAM Identity Center, als SAML-verbundene Rolle oder mit einer Web-Identität verbundenen Rolle anmelden. Wenn Sie beispielsweise zu RoleA wechseln, verwendet IAM die Anmeldeinformationen Ihres ursprünglichen Benutzers oder Ihrer verbundenen Rolle, um festzustellen, ob Sie RoleA übernehmen dürfen. Wenn Sie dann zu RoleB wechseln, während Sie RoleA verwenden, verwendet AWS statt der Anmeldeinformationen für RoleA weiterhin die Anmeldeinformationen Ihres ursprünglichen Benutzers oder Ihrer verbundenen Rolle, um den Wechsel zu RoleB zu autorisieren.

Wissenswerte Informationen zum Wechseln von Rollen in der Konsole

Dieser Abschnitt enthält weitere Informationen zur Verwendung der IAM-Konsole zum Wechseln zu einer Rolle.

Hinweise:

  • Sie können keine Rollen wechseln, wenn Sie als Root-Benutzer des AWS-Kontos angemeldet sind. Sie können die Rolle wechseln, wenn Sie sich als IAM-Benutzer, als Benutzer im IAM Identity Center, als SAML-verbundene Rolle oder als Web-Identitätsverbundene Rolle anmelden.

  • Sie können Rollen in der nicht AWS Management Console zu einer Rolle wechseln, die einen -ExternalIdWert erfordert. Sie können nur zu einer solchen Rolle wechseln, indem Sie die AssumeRole-API aufrufen, die den ExternalId-Parameter unterstützt.

  • Wenn Sie von Ihrem Administrator einen Link erhalten, klicken Sie auf den Link und fahren Sie direkt mit Schritt Schritt 5 in der folgenden Anleitung fort. Über den Link gelangen Sie zur entsprechenden Webseite, in der bereits die Konto-ID (oder der Alias) sowie der Rollenname eingetragen sind.

  • Sie können den Link manuell erstellen und dann den Schritt Schritt 5 in der folgenden Anleitung auslassen. Verwenden Sie beim Erstellen des Links das folgende Format:

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    Ersetzen Sie die folgenden Platzhalter:

    • account_id_number – 12-stellige Konto-ID, die Sie vom Administrator erhalten. Alternativ kann der Administrator einen Kontoalias erstellen, sodass die URL den Kontonamen anstelle der Konto-ID enthält. Weitere Informationen finden Sie unter Benutzertypen im AWS-Anmeldung-Benutzerhandbuch.

    • role_name – Name der zu übernehmenden Rolle. Sie finden diesen Wert am Ende des ARN der Rolle. Geben Sie beispielsweise den Rollennamen TestRole als ARN der Rolle arn:aws:iam::123456789012:role/TestRole an.

    • (Optional) text_to_display – Geben Sie Text ein, der anstelle des Benutzernamens in der Navigationsleiste angezeigt werden soll, wenn die Rolle aktiv ist.

  • Sie können die Rollen anhand der von Ihrem Administrator bereitgestellten Informationen manuell wechseln, indem Sie die folgenden Verfahren anwenden.

Wenn Sie Rollen wechseln, werden Sie standardmäßig IhreAWS Management Console-Sitzung dauert 1 Stunde. IAM-Benutzersitzungen sind standardmäßig 12 Stunden. IAM-Benutzer wird die für die Rolle festgelegte maximale Sitzungsdauer oder die verbleibende Zeit in der Sitzung des Benutzers gewährt, je nachdem, welcher Wert geringer ist. Nehmen Sie beispielsweise an, dass eine maximale Sitzungsdauer von 10 Stunden für eine Rolle festgelegt ist. Ein IAM-Benutzer wurde 8 Stunden lang bei der Konsole angemeldet, wenn er sich entscheidet, zur Rolle zu wechseln. In der Benutzersitzung sind 4 Stunden verbleibend, sodass die zulässige Rollensitzungsdauer 4 Stunden beträgt. Die folgende Tabelle zeigt, wie die Sitzungsdauer für einen IAM-Benutzer beim Wechseln von Rollen in der Konsole ermittelt wird.

IAM-Benutzer Konsolenrollensitzungsdauer
Die verbleibende IAM-Benutzersitzung ist... Rollensitzungsdauer beträgt…
Maximale Sitzungsdauer unter Rolle Verbleibende Zeit in Benutzersitzung
Maximale Sitzungsdauer größer als Rolle Maximale Sitzungsdauer
Gleich der maximalen Sitzungsdauer der Rolle Maximaler Wert für die Sitzungsdauer (ungefähr)
Anmerkung

Einige AWS-Servicekonsolen können Ihre Rollensitzung automatisch erneuern, wenn sie abläuft, ohne dass Sie etwas unternehmen müssen. Einige werden Sie möglicherweise aufgefordert, Ihre Browserseite neu zu laden, um Ihre Sitzung erneut zu authentifizieren.

Zur Behebung typischer Probleme beim Übernehmen einer Rolle vgl. Ich kann eine Rolle nicht übernehmen.

So wechseln Sie zu einer Rolle (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM Management-Konsole unter https://console.aws.amazon.com/iam.

  2. Wählen Sie in der IAM-Konsole rechts oben auf der Navigationsleiste den Benutzernamen. Dieser hat normalerweise folgendes Format: Benutzername@Konto_ID_Nummer_oder_Alias.

  3. Wählen Sie Switch Role. Wenn Sie diese Option erstmalig auswählen, wird eine Seite mit weiteren Informationen angezeigt. Lesen Sie sich diese Informationen durch und klicken Sie dann auf Switch Role (Rolle wechseln). Wenn Sie die Cookies Ihres Browsers löschen, kann die Seite erneut angezeigt werden.

  4. Geben Sie auf der Seite Switch Role (Rolle wechseln) die Konto-ID-Nummer oder den Kontoalias sowie den Namen der Rolle ein, die Sie von Ihrem Administrator erhalten haben.

    Anmerkung

    Wenn der Administrator die Rolle mit einem Pfad erstellt hat, z. B. division_abc/subdivision_efg/roleToDoX, müssen Sie den vollständigen Pfad sowie den Namen im Feld Role (Rolle) eingeben. Wenn Sie nur den Rollennamen eingeben oder der kombinierte Path und RoleName 64 Zeichen überschreiten, schlägt der Wechsel der Rolle fehl. Diese Begrenzung wird durch die Browser-Cookies vorgegeben, in denen der Rollenname gespeichert wird. Wenn dies der Fall ist, wenden Sie sich an Ihren Administrator und bitten Sie Ihn, die Größe des Pfads und Rollennamens zu verringern.

  5. (Optional) Wählen Sie einen Anzeigename aus. Geben Sie den Text ein, der anstelle Ihres Benutzernamens in der Navigationsleiste erscheinen soll, wenn diese Rolle aktiv ist. Es wird ein Name basierend auf den Konto- und Rolleninformationen vorgeschlagen. Sie können jedoch einen beliebigen Namen wählen. Außerdem können Sie eine Farbe auswählen, in der der Anzeigename hervorgehoben wird. Der Name und die Farbe helfen Ihnen dabei zu erkennen, dass die Rolle aktiv ist und Sie dadurch möglicherweise über andere Berechtigungen verfügen. Sie können beispielsweise für eine Rolle, die Ihnen Zugriff auf die Testumgebung gewährt, den Display Name (Anzeigename) Test und die Color (Farbe) grün auswählen. Für die Rolle, die Ihnen Zugriff auf die Produktionsumgebung gewährt, können Sie den Display Name (Anzeigename) Production und die Color (Farbe) rot auswählen.

  6. Wählen Sie Switch Role. Ihr Benutzername auf der Navigationsleiste wird durch den Anzeigenamen in der gewählten Farbe ersetzt und Sie können die durch die Rolle gewährten Berechtigungen nutzen.

Tipp

Die zuletzt verwendeten Rollen werden im Menü angezeigt. Wenn Sie erneut zu einer dieser Rollen wechseln möchten, können Sie einfach die gewünschte Rolle auswählen. Sie müssen die Konto- und Rolleninformationen nur manuell eingeben, wenn die Rolle nicht im Menü „Identity“ angezeigt wird.

So beenden Sie die Verwendung einer Rolle (Konsole)

  1. Klicken Sie in der IAM-Konsole oben rechts in der Navigationsleiste auf Display Name (Anzeigename) der Rolle. Dieser hat normalerweise folgendes Format: Rollenname@Konto_ID_Nummer_oder_Alias.

  2. Wählen Sie Back to username (Zurück zu Benutzername). Die Rolle und ihre Berechtigungen werden deaktiviert und die Ihrem IAM-Benutzer und Ihren Gruppen zugeordneten Berechtigungen werden automatisch wiederhergestellt.

    Nehmen wir zum Beispiel an, dass Sie mit der Kontonummer 123456789012 und dem Benutzernamen RichardRoe angemeldet sind. Nach der Verwendung der AdminRole-Rolle können Sie die Verwendung der Rolle beenden und zu Ihren ursprünglichen Berechtigungen zurückkehren. Um die Verwendung einer Rolle zu beenden, wählen Sie AdminRole @ 123456789012 und dann Zurück zu RichardRoe.

    Richard Roe verwendet die AdminRole Rolle nicht mehr