Ändern einer Rolle (AWS CLI) - AWS Identitäts- und Zugriffsverwaltung
Ändern einer Rollenvertrauensrichtlinie (AWS CLI)Ändern einer Rollenberechtigungsrichtlinie (AWS CLI)Ändern einer Rollenbeschreibung (AWS CLI)Ändern der maximalen Sitzungsdauer einer Rolle (AWS CLI)Ändern einer Rollenberechtigungsgrenze (AWS CLI)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern einer Rolle (AWS CLI)

Sie können den verwenden AWS Command Line Interface , um eine Rolle zu ändern. Informationen zum Ändern der Gruppe von Tags einer Rolle finden Sie unter Verwaltung von Tags in IAM-Rollen (AWS CLI oder AWS API).

Ändern einer Rollenvertrauensrichtlinie (AWS CLI)

Um zu ändern, wer eine Rolle übernehmen kann, müssen Sie die Vertrauensrichtlinie der Rolle bearbeiten. Sie können die Vertrauensrichtlinie für eine serviceverknüpfte Rolle nicht ändern.

Hinweise

  • Wenn ein Benutzer als Auftraggeber in der Vertrauensrichtlinie einer Rolle aufgeführt ist, aber die Rolle nicht übernehmen kann, überprüfen Sie die Berechtigungsgrenze des Benutzers. Wenn eine Berechtigungsgrenze für den Benutzer festgelegt ist, dann muss sie die sts:AssumeRole-Aktion zulassen.

  • Damit Benutzer die aktuelle Rolle innerhalb einer Rollensitzung wieder übernehmen können, geben Sie den Rollen-ARN oder AWS-Konto ARN als Principal in der Rollenvertrauensrichtlinie an. AWS-Services die Rechenressourcen wie Amazon EC2, Amazon ECS, Amazon EKS und Lambda bereitstellen, stellen temporäre Anmeldeinformationen bereit und aktualisieren diese Anmeldeinformationen automatisch. Dadurch wird sichergestellt, dass Sie immer über gültige Anmeldeinformationen verfügen. Für diese Dienste ist es nicht erforderlich, die aktuelle Rolle erneut anzunehmen, um temporäre Anmeldeinformationen zu erhalten. Wenn Sie jedoch beabsichtigen, Sitzungs-Tags oder eine Sitzungsrichtlinie zu übergeben, müssen Sie die aktuelle Rolle erneut annehmen. Informationen zum Ändern einer Rollenvertrauensrichtlinie zum Hinzufügen der Hauptrollen ARN oder AWS-Konto ARN finden Sie unterÄndern einer Rollenvertrauensrichtlinie (Konsole).

So ändern Sie eine Rollenvertrauensrichtinie (AWS CLI)

  1. (Optional) Wenn Sie den Namen der Rolle, die Sie ändern möchten, nicht kennen, führen Sie den folgenden Befehl aus, um die Rollen im Konto aufzulisten:

  2. (Optional) Um die aktuelle Vertrauensrichtlinie einer Rolle anzuzeigen, führen Sie den folgenden Befehl aus:

  3. Um die vertrauenswürdigen Auftraggeber zu ändern, die auf die Rolle zugreifen können, erstellen Sie eine Textdatei mit der aktualisierten Vertrauensrichtlinie. Sie können zum Erstellen der Richtlinie einen beliebigen Texteditor verwenden.

    Die folgende Vertrauensrichtlinie zeigt beispielsweise, wie AWS-Konten in dem Principal Element auf zwei verwiesen wird. Auf diese Weise können Benutzer innerhalb von zwei separaten AWS-Konten diese Rolle übernehmen.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}

    Wenn Sie einen Auftraggeber in einem anderen Konto angeben, ist das Hinzufügen eines Kontos zur Vertrauensrichtlinie einer Rolle nur die Hälfte der Einrichtung einer kontoübergreifenden Vertrauensbeziehung. Standardmäßig kann kein Benutzer in den vertrauenswürdigen Konten die Rolle übernehmen. Der Administrator für das neue vertrauenswürdige Konto muss den Benutzern die Berechtigung erteilen, die Rolle zu übernehmen. Dazu muss der Administrator eine Richtlinie erstellen oder bearbeiten, die an den Benutzer angehängt ist, um dem Benutzer den Zugriff auf die Aktion sts:AssumeRole zu ermöglichen. Weitere Informationen finden Sie im folgenden Verfahren oder unter Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen.

  4. Um die soeben erstellte Datei zur Aktualisierung der Vertrauensrichtlinie zu verwenden, führen Sie den folgenden Befehl aus:

So erteilen Sie Benutzern in einem vertrauenswürdigen Konto die Berechtigung zur Verwendung der Rolle (AWS CLI)

Weitere Informationen und Details zu dieser Vorgehensweise finden Sie unter Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen.

  1. Erstellen Sie eine JSON-Datei, die eine Berechtigungsrichtlinie enthält, die Berechtigungen für die Übernahme der Rolle erteilt. Die folgende Richtlinie enthält beispielsweise die erforderlichen Mindestberechtigungen:

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}

    Ersetzen Sie den ARN in der Anweisung durch den ARN der Rolle, die der Benutzer übernehmen kann.

  2. Führen Sie den folgenden Befehl aus, um die JSON-Datei, die die Vertrauensrichtlinie enthält, in IAM hochzuladen:

    Die Ausgabe dieses Befehls enthält den ARN der Richtlinie. Notieren Sie sich diesen ARN, da Sie ihn zu einem späteren Zeitpunkt brauchen.

  3. Legen Sie fest, welchem Benutzer oder welcher Gruppe Sie die Richtlinie anfügen. Wenn Sie den Namen des betreffenden Benutzers oder der Gruppe nicht kennen, geben Sie einen der folgenden Befehle ein, um die Benutzer oder Gruppen im Konto aufzulisten:

  4. Verwenden Sie einen der folgenden Befehle, um die im vorherigen Schritt erstellte Richtlinie an einen Benutzer oder eine Gruppe anzufügen:

Ändern einer Rollenberechtigungsrichtlinie (AWS CLI)

Um die von der Rolle zugelassenen Berechtigungen zu ändern, modifizieren Sie die Berechtigungsrichtlinie (oder Berechtigungsrichtlinien) der Rolle. Sie können die Berechtigungsrichtlinie für eine serviceverknüpfte Rolle in IAM nicht ändern. Möglicherweise können Sie die Berechtigungsrichtlinie innerhalb des Service ändern, der von der Rolle abhängt. Um zu überprüfen, ob ein Service dieses Feature unterstützt, lesen Sie AWS Dienste, die mit IAM funktionieren und suchen Sie nach den Services mit Yes (Ja) in der Spalte Service-linked roles (Serviceverknüpfte Rollen). Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

So ändern Sie die Berechtigungen einer Rolle (AWS CLI)

  1. (Optional) Um die aktuell mit einer Rolle verknüpften Berechtigungen anzuzeigen, führen Sie die folgenden Befehle aus:

    1. aws ist bestrebt list-role-policies, Online-Richtlinien aufzulisten

    2. aws zielt darauf ab list-attached-role-policies, verwaltete Richtlinien aufzulisten

  2. Der Befehl zum Aktualisieren von Berechtigungen der Rolle unterscheidet sich je nachdem, ob Sie eine verwaltete Inlinerichtlinie aktualisieren.

    Wenn Sie eine verwaltete Richtlinie aktualisieren möchten, führen Sie den folgenden Befehl aus, um eine neue Version der verwalteten Richtlinie zu erstellen:

    Um eine Inline-Richtlinie zu aktualisieren, führen Sie den folgenden Befehl aus:

Ändern einer Rollenbeschreibung (AWS CLI)

Um die Beschreibung einer Rolle zu ändern, modifizieren Sie den Text der Beschreibung.

So ändern Sie die Beschreibung einer Rolle (AWS CLI)

  1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, führen Sie den folgenden Befehl aus:

  2. Um die Beschreibung einer Rolle zu aktualisieren, führen Sie den folgenden Befehl mit dem Beschreibungsparameter aus:

Ändern der maximalen Sitzungsdauer einer Rolle (AWS CLI)

Um die maximale Sitzungsdauer für Rollen festzulegen, die mithilfe der AWS CLI oder API angenommen werden, ändern Sie den Wert der maximalen Sitzungsdauer. Diese Einstellung kann einen Wert zwischen 1 Stunde und 12 Stunden haben. Wenn Sie keinen Wert angeben, wird der maximale Standardwert von einer Stunde angewendet. Diese Einstellung schränkt die von AWS Diensten angenommenen Sitzungen nicht ein.

Anmerkung

Jeder, der die Rolle von der API AWS CLI oder übernimmt, kann den duration-seconds CLI-Parameter oder den DurationSeconds API-Parameter verwenden, um eine längere Sitzung anzufordern. Die Einstellung MaxSessionDuration bestimmt die maximale Dauer der Rollensitzung, die mit dem DurationSeconds-Parameter angefordert werden kann. Wenn Benutzer keinen Wert für den DurationSeconds-Parameter angeben, sind ihre Sicherheitsanmeldeinformationen eine Stunde lang gültig.

So ändern Sie die maximale Sitzungsdauer für Rollen, für die unterstellt wird, dass sie die AWS CLI (AWS CLI) verwenden

  1. (Optional) Um die aktuelle maximale Sitzungsdauer für eine Rolle anzuzeigen, führen Sie den folgenden Befehl aus:

  2. Um die maximale Sitzungsdauer einer Rolle zu aktualisieren, führen Sie den folgenden Befehl mit dem CLI-Parameter max-session-duration oder dem API-Parameter MaxSessionDuration aus:

    Ihre Änderungen werden erst wirksam, wenn das nächste Mal jemand diese Rolle annimmt. Weitere Informationen dazu, wie Sie bestehende Sitzungen für diese Rolle widerrufen, finden Sie unter Widerrufen der temporären Sicherheitsanmeldeinformationen für IAM-Rollen.

Ändern einer Rollenberechtigungsgrenze (AWS CLI)

Um die maximalen Berechtigungen zu ändern, die für eine Rolle zulässig sind, ändern Sie die Berechtigungsgrenze der Rolle.

Ändern der verwalteten Richtlinie zum Festlegen der Berechtigungsgrenze für eine Rolle (AWS CLI)

  1. (Optional) Um die aktuelle Berechtigungsgrenze einer Rolle anzuzeigen, führen Sie den folgenden Befehl aus:

  2. Um eine andere verwaltete Richtlinie zum Aktualisieren der Berechtigungsgrenze für eine Rolle zu verwenden, führen Sie den folgenden Befehl aus:

    Eine Rolle kann nur eine verwaltete Richtlinie als Berechtigungsgrenze festlegen. Wenn Sie die Berechtigungsgrenze ändern, ändern Sie die maximal zulässigen Berechtigungen für eine Rolle.