Memberikan izin pengguna untuk berganti peran - AWS Identity and Access Management
Membuat atau mengubahMemberikan informasi kepada pengguna

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memberikan izin pengguna untuk berganti peran

Ketika administrator membuat peran untuk akses lintas akun, mereka membangun kepercayaan antara akun yang memiliki peran, sumber daya (akun kepercayaan), dan akun yang berisi pengguna (akun tepercaya). Untuk melakukannya, administrator akun terpercaya menentukan nomor akun terpercaya sebagai Principal dalam kebijakan kepercayaan peran tersebut. Itu berpotensi memungkinkan pengguna mana pun di akun tepercaya untuk mengambil peran tersebut. Untuk menyelesaikan konfigurasi, administrator akun terpercaya harus memberikan izin kepada kelompok atau pengguna tertentu dalam izin akun tersebut untuk beralih ke peran.

Untuk memberikan izin untuk beralih ke peran

  1. Sebagai administrator akun tepercaya, buat kebijakan baru untuk pengguna, atau edit kebijakan yang ada untuk menambahkan elemen yang diperlukan. Lihat perinciannya di Membuat atau mengubah.

  2. Kemudian, pilih cara Anda ingin membagikan informasi peran:

    • Tautan peran: Kirim pengguna tautan yang membawa mereka ke halaman Beralih Peran dengan semua detail yang sudah diisi.

    • ID Akun atau alias: Berikan setiap pengguna nama peran bersama dengan nomor ID akun atau alias akun. Pengguna kemudian masuk ke halaman Ganti Peran dan menambahkan detail secara manual.

    Lihat perinciannya di Memberikan informasi kepada pengguna.

Perhatikan bahwa Anda dapat beralih peran hanya jika Anda masuk sebagai pengguna IAM, peran federasi SAML, atau peran federasi identitas web. Anda tidak dapat beralih peran saat masuk sebagai Pengguna root akun AWS.

penting

Anda tidak dapat beralih peran AWS Management Console ke peran yang membutuhkan ExternalIdnilai. Anda hanya dapat beralih ke peran tersebut dengan memanggil AssumeRole API yang mendukung parameter ExternalId.

Catatan

  • Topik ini membahas kebijakan untuk pengguna, karena pada akhirnya Anda memberikan izin kepada pengguna untuk menyelesaikan tugas. Namun, kami tidak menyarankan Anda memberikan izin langsung ke pengguna individu. Saat pengguna mengambil peran, mereka diberi izin yang terkait dengan peran tersebut.

  • Saat Anda beralih peran AWS Management Console, konsol selalu menggunakan kredenal asli Anda untuk mengotorisasi sakelar. Hal ini berlaku baik Anda masuk sebagai pengguna IAM, sebagai peran federasi SAML, atau sebagai peran federasi identitas-web. Misalnya, jika Anda beralih ke RoleA, IAM menggunakan pengguna asli atau kredensi peran federasi untuk menentukan apakah Anda diizinkan untuk mengambil RoleA. Jika Anda kemudian mencoba untuk beralih ke RoleB saat menggunakan RoleA, pengguna asli atau kredensial peran federasi digunakan untuk mengotorisasi upaya Anda. Kredensial untuk RoleA tidak digunakan untuk tindakan ini.

Membuat atau mengubah

Kebijakan yang memberikan izin kepada pengguna untuk mengasumsikan peran harus mencantumkan pernyataan dengan efek Allow pada hal berikut:

  • Tindakan sts:AssumeRole

  • Amazon Resource Name (ARN) peran dalam elemen Resource

Pengguna yang mendapatkan kebijakan diizinkan untuk beralih peran pada sumber daya yang terdaftar (baik melalui keanggotaan grup atau langsung dilampirkan).

catatan

Jika Resource diatur menjadi *, pengguna dapat mengasumsikan peran apa pun dalam akun apa pun yang memercayai akun pengguna. (Dengan kata lain, kebijakan kepercayaan peran menentukan akun pengguna sebagai Principal). Sebaiknya, kami menyarankan agar Anda mengikuti prinsip hak istimewa terendah dan menentukan ARN lengkap hanya untuk peran yang dibutuhkan pengguna.

Contoh berikut menunjukkan kebijakan yang memungkinkan pengguna untuk mengasumsikan peran hanya dalam satu akun. Selain itu, kebijakan ini menggunakan wildcard (*) untuk menentukan bahwa pengguna dapat beralih ke peran hanya jika nama peran dimulai dan huruf Test.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::account-id:role/Test*"
  }
}
catatan

Izin yang diberikan oleh peran kepada pengguna tidak menambah izin yang sudah diberikan kepada pengguna. Saat pengguna beralih ke suatu peran, pengguna sementara waktu akan memberikan izin awalnya sebagai ganti atas apa yang diberikan oleh peran tersebut. Saat pengguna keluar dari peran, izin pengguna asli mereka dipulihkan secara otomatis. Misalnya, katakanlah izin pengguna memungkinkan bekerja dengan instans Amazon EC2, tetapi kebijakan izin peran tidak memberikan izin tersebut. Dalam hal ini, saat menggunakan peran tersebut, pengguna tidak dapat bekerja dengan instans Amazon EC2 di dalam konsol. Selain itu, kredensial sementara yang diperoleh melalui AssumeRole tidak bekerja dengan instans Amazon EC2 secara terprogram.

Memberikan informasi kepada pengguna

Setelah Anda membuat peran dan memberikan izin kepada pengguna Anda untuk beralih ke sana, Anda harus memberikan hal-hal berikut kepada pengguna:

  • Nama peran

  • ID atau alias akun yang berisi peran tersebut

Anda dapat merampingkan akses untuk pengguna Anda dengan mengirimkan tautan yang telah dikonfigurasi sebelumnya dengan ID akun dan nama peran. Anda dapat melihat tautan peran setelah menyelesaikan wizard Buat Peran dengan memilih spanduk Lihat Peran, atau pada halaman Ringkasan Peran untuk peran yang diaktifkan lintas akun.

Anda juga dapat menggunakan format berikut untuk menyusun tautan secara manual. Ganti ID akun atau alias Anda dan nama peran untuk dua parameter dalam contoh berikut.

https://signin.aws.amazon.com/switchrole?account=your_account_ID_or_alias&roleName=optional_path/role_name

Kami menyarankan Anda mengarahkan pengguna Anda Beralih ke peran (konsol) untuk memandu mereka melalui proses tersebut. Untuk memecahkan masalah umum yang mungkin Anda temui saat mengasumsikan peran, lihat Saya tidak dapat mengsumsikan peran.

Pertimbangan

  • Jika Anda membuat peran secara terprogram, Anda dapat membuat peran dengan jalur dan nama. Jika demikian, Anda harus memberikan jalur lengkap dan nama peran kepada pengguna agar mereka dapat masuk ke halaman Beralih Peran di AWS Management Console. Misalnya: division_abc/subdivision_efg/role_XYZ.

  • Jika Anda membuat peran secara terprogram, Anda dapat menambahkan hingga 512 karakter dan aPath. RoleName Panjang nama peran dapat mencapai 64 karakter. Namun, untuk menggunakan peran dengan fitur Switch Role di AWS Management Console, gabungan Path dan RoleName tidak dapat melebihi 64 karakter.

  • Untuk tujuan keamanan, Anda dapat meninjau AWS CloudTrail log untuk mengetahui siapa yang melakukan tindakan AWS. Anda dapat menggunakan kunci syarat sts:SourceIdentity dalam peran kebijakan kepercayaan untuk mengharuskan pengguna menentukan identias saat mereka mengasumsikan sebuah peran. Misalnya, Anda dapat meminta agar pengguna IAM menentukan nama pengguna mereka sendiri sebagai identitas sumber mereka. Ini dapat membantu Anda menentukan pengguna mana yang melakukan tindakan tertentu di AWS. Untuk informasi selengkapnya, lihat sts:SourceIdentity. Anda juga dapat menggunakan sts:RoleSessionName untuk mengharuskan pengguna menentukan nama sesi saat mereka mengambil peran. Hal ini dapat membantu Anda membedakan antara sesi peran ketika peran digunakan oleh prinsipal yang berbeda.