Beralih ke IAM peran (AWS CLI) - AWS Identity and Access Management
Skenario contoh: Beralih ke peran produksiSkenario contoh: Menginzinkan peran profil instans untuk beralih ke peran dalam akun lain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Beralih ke IAM peran (AWS CLI)

Peran menentukan serangkaian izin yang dapat Anda gunakan untuk mengakses sumber daya AWS yang Anda perlukan. Dalam pengertian itu, ini mirip dengan pengguna di AWS Identity and Access Management (IAM). Saat Anda masuk sebagai pengguna, Anda mendapatkan serangkaian izin tertentu. Namun, Anda tidak masuk ke sebuah peran, tetapi setelah masuk sebagai pengguna, Anda dapat beralih ke sebuah peran. Sementara waktu ini mengesampingkan izin pengguna awal Anda dan justru memberikan izin yang ditetapkan untuk peran. Perannya bisa di akun Anda sendiri atau lainnya Akun AWS. Untuk informasi lebih lanjut tentang peran, keuntungannya, dan cara membuatnya, lihat IAMperan, dan IAMpenciptaan peran. Untuk mempelajari tentang berbagai metode yang dapat Anda gunakan untuk mengasumsikan peran, lihat Metode untuk mengambil peran.

penting

Izin IAM pengguna Anda dan peran apa pun yang Anda asumsikan tidak kumulatif. Hanya satu rangkaian izin yang aktif pada satu waktu. Saat Anda mengasumsikan suatu peran, sementara waktu Anda meninggalkan izin pengguna dan bekerja dengan izin yang ditetapkan ke peran tersebut. Saat Anda keluar dari peran, izin pengguna asli Anda dipulihkan secara otomatis.

Anda dapat menggunakan peran untuk menjalankan AWS CLI perintah saat Anda masuk sebagai IAM pengguna. Anda juga dapat menggunakan peran untuk menjalankan AWS CLI perintah ketika Anda masuk sebagai pengguna yang diautentikasi secara eksternal (SAMLatau OIDC) yang sudah menggunakan peran. Selain itu, Anda dapat menggunakan peran untuk menjalankan AWS CLI perintah dari dalam EC2 instance Amazon yang dilampirkan ke peran melalui profil instance-nya. Anda tidak dapat mengambil peran saat masuk sebagai Pengguna root akun AWS.

Rantai peran — Anda juga dapat menggunakan rantai peran, yang menggunakan izin dari peran untuk mengakses peran kedua.

Secara default, sesi peran Anda berlangsung selama satu jam. Ketika Anda mengambil peran ini menggunakan assume-role* CLI operasi, Anda dapat menentukan nilai untuk duration-seconds parameter. Nilai ini dapat berkisar dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran tersebut. Jika Anda beralih peran di konsol, durasi sesi Anda dibatasi hingga maksimal satu jam. Untuk mempelajari cara melihat nilai maksimum untuk peran Anda, lihat Memperbarui durasi sesi maksimum untuk peran.

Saat Anda menggunakan rantai peran, kredensial baru Anda dibatasi hingga durasi maksimum satu jam. Jika Anda kemudian menggunakan parameter duration-seconds untuk memberikan nilai lebih dari satu jam, operasi gagal.

Skenario contoh: Beralih ke peran produksi

Bayangkan Anda adalah IAM pengguna untuk bekerja di lingkungan pengembangan. Dalam skenario ini, Anda terkadang perlu bekerja dengan lingkungan produksi pada baris perintah dengan AWS CLI. Anda sudah memiliki kredensial access key yang tersedia untuk Anda. Ini bisa menjadi access key pair yang ditetapkan untuk IAM pengguna standar Anda. Atau, jika Anda masuk sebagai pengguna gabungan, itu dapat menjadi pasangan access key untuk peran yang awalnya ditetapkan kepada Anda. Jika izin Anda saat ini memberi Anda kemampuan untuk mengambil IAM peran tertentu, maka Anda dapat mengidentifikasi peran tersebut dalam “profil” dalam file AWS CLI konfigurasi. Perintah itu kemudian dijalankan dengan izin dari IAM peran yang ditentukan, bukan identitas asli. Perhatikan bahwa ketika Anda menentukan profil itu dalam sebuah AWS CLI perintah, Anda menggunakan peran baru. Dalam situasi ini, Anda tidak dapat menggunakan izin awal dalam akun pengembangan pada saat bersamaan. Alasannya adalah bahwa hanya satu rangkaian izin yang dapat berlaku pada satu waktu.

catatan

Untuk tujuan keamanan, administrator dapat meninjau AWS CloudTrail log untuk mengetahui siapa yang melakukan tindakan. AWS Administrator Anda mungkin akan meminta Anda menentukan identitas sumber atau nama sesi peran ketika Anda mengambil peran tersebut. Untuk informasi selengkapnya, silakan lihat sts:SourceIdentity dan sts:RoleSessionName.

Untuk beralih ke peran produksi (AWS CLI)

  1. Jika Anda belum pernah menggunakan AWS CLI, maka Anda harus terlebih dahulu mengkonfigurasi CLI profil default Anda. Buka prompt perintah dan atur AWS CLI instalasi Anda untuk menggunakan kunci akses dari IAM pengguna Anda atau dari peran federasi Anda. Untuk informasi lebih lanjut, lihat Mengonfigurasi AWS Command Line Interface di Panduan Pengguna AWS Command Line Interface .

    Jalankan perintah aws configure sebagai berikut:

    aws configure

    Saat diminta, berikan informasi berikut:

    AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-east-2
Default output format [None]: json

  2. Buat profil baru untuk peran dalam .aws/config file dalam Unix atau Linux, atau C:\Users\USERNAME\.aws\config file dalam Windows. Contoh berikut membuat sebuah profil bernama prodaccess yang beralih ke peran ProductionAccessRole dalam akun 123456789012. Anda mendapatkan peran ARN dari administrator akun yang membuat peran tersebut. Ketika profil ini dipanggil, akan AWS CLI menggunakan kredensialnya source_profile untuk meminta kredensi untuk peran tersebut. Oleh karena itu, identitas direferensikan karena source_profile harus memiliki izin sts:AssumeRole untuk peran yang ditentukan dalam role_arn.

    [profile prodaccess]
    role_arn = arn:aws:iam::123456789012:role/ProductionAccessRole
    source_profile = default

  3. Setelah Anda membuat profil baru, AWS CLI perintah apa pun yang menentukan parameter --profile prodaccess berjalan di bawah izin yang dilampirkan ke IAM peran, ProductionAccessRole bukan pengguna default.

    aws iam list-users --profile prodaccess

    Perintah ini berfungsi jika izin yang ditetapkan ke ProductionAccessRole mengaktifkan pencatuman pengguna di akun AWS saat ini.

  4. Untuk kembali ke izin yang diberikan oleh kredensial asli Anda, jalankan perintah tanpa parameter --profile. AWS CLI Kembali menggunakan kredensi di profil default Anda, yang Anda konfigurasikan. Tahap 1

Untuk informasi selengkapnya, lihat Mengasumsikan Peran dalam Panduan AWS Command Line Interface Pengguna.

Skenario contoh: Menginzinkan peran profil instans untuk beralih ke peran dalam akun lain

Bayangkan Anda menggunakan dua Akun AWS, dan Anda ingin mengizinkan aplikasi yang berjalan pada EC2 instance Amazon untuk menjalankan AWS CLIperintah di kedua akun. Asumsikan bahwa EC2 instance ada di akun111111111111. Instance tersebut menyertakan peran profil abcd instance yang memungkinkan aplikasi melakukan tugas Amazon S3 hanya-baca di bucket dalam akun my-bucket-1 yang sama. 111111111111 Namun, aplikasi tersebut juga harus diizinkan untuk mengambil peran lintas akun efgh untuk melakukan tugas di akun 222222222222. Untuk melakukan ini, peran profil abcd EC2 instance harus memiliki kebijakan izin berikut:

Kebijakan izin peran akun 1111111111 abcd

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAccountLevelS3Actions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetAccountPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowListAndReadS3ActionOnMyBucket",
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket-1/*",
                "arn:aws:s3:::my-bucket-1"
            ]
        },
        {
            "Sid": "AllowIPToAssumeCrossAccountRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::222222222222:role/efgh"
        }
    ]
}

Anggap bahwa efgh peran lintas akun memungkinkan tugas Amazon S3 hanya baca di bucket my-bucket-2 dengan akun 222222222222 yang sama. Untuk melakukannya, peran lintas akun efgh harus memiliki kebijakan izin berikut:

Kebijakan izin peran akun 2222222222 efgh

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAccountLevelS3Actions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetAccountPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowListAndReadS3ActionOnMyBucket",
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket-2/*",
                "arn:aws:s3:::my-bucket-2"
            ]
        }
    ]
}

Peran efgh harus memungkinkan peran profil instans abcd untuk mengasumsikannya. Untuk melakukannya, peran efgh harus memiliki kebijakan kepercayaan berikut:

Akun 222222222222 kebijakan kepercayaan peran efgh

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "efghTrustPolicy",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {"AWS": "arn:aws:iam::111111111111:role/abcd"}
        }
    ]
}

Untuk kemudian menjalankan AWS CLI perintah di akun222222222222, Anda harus memperbarui file CLI konfigurasi. Identifikasi efgh peran sebagai “profil” dan peran profil abcd EC2 instance sebagai “sumber kredensi” dalam file AWS CLI konfigurasi. Kemudian CLI perintah Anda dijalankan dengan izin efgh peran, bukan abcd peran asli.

catatan

Untuk tujuan keamanan, Anda dapat menggunakan AWS CloudTrail untuk mengaudit penggunaan peran dalam akun. Untuk membedakan antara sesi peran ketika peran digunakan oleh prinsipal yang berbeda dalam CloudTrail log, Anda dapat menggunakan nama sesi peran. Ketika AWS CLI mengambil peran atas nama pengguna seperti yang dijelaskan dalam topik ini, nama sesi peran secara otomatis dibuat sebagaiAWS-CLI-session-nnnnnnnn. Di sini nnnnnnnn adalah bilangan bulat yang mewakili waktu dalam waktu zaman Unix (jumlah detik sejak tengah malam UTC pada tanggal 1 Januari 1970). Untuk informasi selengkapnya, lihat Referensi CloudTrail Acara di Panduan AWS CloudTrail Pengguna.

Untuk mengizinkan peran profil EC2 instance beralih ke peran lintas akun ()AWS CLI

  1. Anda tidak perlu mengkonfigurasi CLI profil default. Sebagai gantinya, Anda dapat memuat kredensi dari metadata profil EC2 instance. Buat profil baru untuk peran dalam file .aws/config. Contoh berikut membuat profil instancecrossaccount yang beralih ke peran efgh dalam akun 222222222222. Saat profil ini dipanggil, maka akan AWS CLI menggunakan kredensial metadata profil EC2 instance untuk meminta kredensi peran tersebut. Karena itu, peran profil EC2 instance harus memiliki sts:AssumeRole izin untuk peran yang ditentukan dalam. role_arn

    [profile instancecrossaccount]
role_arn = arn:aws:iam::222222222222:role/efgh
credential_source = Ec2InstanceMetadata

  2. Setelah Anda membuat profil baru, AWS CLI perintah apa pun yang menentukan parameter --profile instancecrossaccount berjalan di bawah izin yang dilampirkan ke efgh peran di akun. 222222222222

    aws s3 ls my-bucket-2 --profile instancecrossaccount

    Perintah ini berfungsi jika izin yang ditetapkan ke efgh peran memungkinkan daftar pengguna saat ini Akun AWS.

  3. Untuk kembali ke izin profil EC2 instans asli di akun111111111111, jalankan CLI perintah tanpa --profile parameter.

Untuk informasi selengkapnya, lihat Mengasumsikan Peran dalam Panduan AWS Command Line Interface Pengguna.