Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wechseln zu einer IAM-Rolle (Tools for Windows PowerShell)
Eine Rolle legt eine Gruppe von Berechtigungen fest, die Sie für den Zugriff auf AWS-Ressourcen, die Sie benötigen, verwenden können. In dieser Hinsicht ist sie mit einem IAM-BenutzerAWS Identity and Access Management vergleichbar. Wenn Sie sich als Benutzer anmelden, erhalten Sie einen bestimmten Satz von Berechtigungen. Sie melden sich nicht bei einer Rolle an, aber sobald Sie angemeldet sind, können Sie zu einer Rolle wechseln. Dadurch werden Ihre ursprünglichen Benutzerberechtigungen vorübergehend zurückgestellt und Sie erhalten stattdessen die der Rolle zugewiesenen Berechtigungen. Die Rolle kann sich in Ihrem eigenen Konto oder jedem anderen AWS-Konto befinden. Weitere Informationen zu Rollen, ihren Vorteilen sowie zu ihrer Erstellung und Konfiguration finden Sie unter IAM-Rollenund Erstellen von IAM-Rollen.
Wichtig
Die Berechtigungen Ihres IAM-Benutzers und alle Rollen, zu denen Sie wechseln, können nicht kumuliert werden. Es ist nur jeweils ein Satz von Berechtigungen aktiv. Wenn Sie zu einer Rolle wechseln, geben Sie Ihre Benutzerberechtigungen temporär auf und arbeiten mit den Berechtigungen, die der Rolle zugeordnet sind. Wenn Sie die Rolle verlassen, werden Ihre Benutzerberechtigungen automatisch wiederhergestellt.
In diesem Abschnitt wird beschrieben, wie Sie Rollen wechseln, wenn Sie mit den AWS Tools for Windows PowerShell in der Befehlszeile arbeiten.
Stellen Sie sich vor, Sie haben ein Konto in der Entwicklungsumgebung und müssen gelegentlich über die Befehlszeile mit der Produktionsumgebung arbeiten, indem Sie die Tools for Windows PowerShell verwendenUse-STSRole
-Cmdlet auszuführen, das den ARN einer neuen Rolle als Parameter übergibt. Der Befehl gibt temporäre Sicherheitsanmeldeinformationen für die angeforderte Rolle zurück. Sie können anschließend diese Anmeldeinformationen in nachfolgenden PowerShell-Befehlen mit den Berechtigungen der Rolle verwenden, um auf Ressourcen in der Produktionsumgebung zuzugreifen. Solange Sie die Rolle verwenden, können Sie Ihre Benutzerberechtigungen im Entwicklungskonto nicht nutzen, da immer nur jeweils ein Satz an Berechtigungen wirksam ist.
Anmerkung
Aus Sicherheitsgründen können Administratoren AWS CloudTrail-Protokolle überprüfen, um festzustellen, wer eine Aktion in AWS ausgeführt hat. Ihr Administrator erfordert möglicherweise, dass Sie einen bestimmten Wert für den Sitzungsnamen angeben, wenn Sie die Rolle übernehmen. Weitere Informationen finden Sie unter sts:SourceIdentity und sts:RoleSessionName.
Beachten Sie, dass alle Zugriffsschlüssel und Token nur Beispiele sind und nicht wie hier dargestellt verwendet werden können. Ersetzen Sie sie mit den entsprechenden Werten aus Ihrer Live-Umgebung.
So wechseln Sie zu einer Rolle (Tools for Windows PowerShell)
-
Öffnen Sie eine PowerShell-Eingabeaufforderung und konfigurieren Sie das Standardprofil, um den Zugriffsschlüssel von Ihrem aktuellen IAM-Benutzer oder von Ihrer verbundenen Rolle zu nutzen. Wenn Sie zuvor die Tools for Windows PowerShell verwendet haben, ist dies wahrscheinlich bereits geschehen. Beachten Sie, dass Sie Rollen nur dann wechseln können, wenn Sie als IAM-Benutzer und nicht als der Root-Benutzer des AWS-Kontos angemeldet sind.
PS C:\>
Set-AWSCredentials -AccessKey
-SecretKeyAKIAIOSFODNN7EXAMPLE
-StoreAswJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
MyMainUserProfile
PS C:\>
Initialize-AWSDefaults -ProfileName
MyMainUserProfile
-Regionus-east-2
Weitere Informationen finden Sie unter AWS-Anmeldeinformationen verwenden im AWS Tools for Windows PowerShell–Benutzerleitfaden.
-
Um die Anmeldeinformationen für die neue Rolle abzurufen, führen Sie den folgenden Befehl aus, um zur
-Rolle im Konto 123456789012 zu wechseln. Der ARN der Rolle wird Ihnen vom Kontoadministrator, der die Rolle erstellt hat, mitgeteilt. Der Befehl erfordert, dass Sie außerdem einen Sitzungsnamen angeben. Sie können hierfür einen beliebigen Text wählen. Der folgende Befehl fordert die Anmeldeinformationen an und erfasst dann dasRoleName
Credentials
-Eigenschaftsobjekt vom zurückgegebenen Ergebnisobjekt und speichert es in der$Creds
-Variablen.PS C:\>
$Creds = (Use-STSRole -RoleArn "arn:aws:iam::
123456789012
:role/RoleName
" -RoleSessionName "MyRoleSessionName
").Credentials$Creds
ist ein Objekt, das jetzt die ElementeAccessKeyId
,SecretAccessKey
undSessionToken
enthält, die Sie in den folgenden Schritten benötigen. Die folgenden Beispielbefehle veranschaulichen typische Werte:PS C:\>
$Creds.AccessKeyId
AKIAIOSFODNN7EXAMPLEPS C:\>
$Creds.SecretAccessKey
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYPS C:\>
$Creds.SessionToken
AQoDYXdzEGcaEXAMPLE2gsYULo+Im5ZEXAMPLEeYjs1M2FUIgIJx9tQqNMBEXAMPLECvSRyh0FW7jEXAMPLEW+vE/7s1HRp XviG7b+qYf4nD00EXAMPLEmj4wxS04L/uZEXAMPLECihzFB5lTYLto9dyBgSDyEXAMPLE9/g7QRUhZp4bqbEXAMPLENwGPy Oj59pFA4lNKCIkVgkREXAMPLEjlzxQ7y52gekeVEXAMPLEDiB9ST3UuysgsKdEXAMPLE1TVastU1A0SKFEXAMPLEiywCC/C s8EXAMPLEpZgOs+6hz4AP4KEXAMPLERbASP+4eZScEXAMPLEsnf87eNhyDHq6ikBQ==PS C:\>
$Creds.Expiration
Thursday, June 18, 2018 2:28:31 PM -
Um diese Anmeldeinformationen für nachfolgende Befehle zu verwenden, fügen Sie sie dem
-Credential
-Parameter bei. Der folgende Befehl verwendet beispielsweise die Anmeldeinformationen der Rolle und funktioniert nur dann, wenn der Rolle dieiam:ListRoles
-Berechtigung gewährt wird und sie daher dasGet-IAMRoles
-Cmdlet ausführen kann:PS C:\>
get-iamroles -Credential $Creds
-
Um zu Ihren ursprünglichen Anmeldeinformationen zurückzukehren, beenden Sie einfach die Nutzung des
-Credentials $Creds
-Parameters und erlauben Sie PowerShell die Zurücksetzung zu den Anmeldeinformationen, die im Standardprofil gespeichert sind.