Mengubah peran (AWS CLI) - AWS Identity and Access Management
Mengubah kebijakan kepercayaan peran (AWS CLI)Mengubah kebijakan izin peran (AWS CLI)Mengubah deskripsi peran (AWS CLI)Mengubah durasi sesi maksimum peran (AWS CLI)Mengubah batas izin peran (AWS CLI)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengubah peran (AWS CLI)

Anda dapat menggunakan AWS Command Line Interface untuk memodifikasi peran. Untuk mengubah rangkaian tanda pada peran, lihat Mengelola tag pada peran IAM (AWS CLI atau AWS API).

Mengubah kebijakan kepercayaan peran (AWS CLI)

Untuk mengubah siapa yang dapat mengasumsikan peran, Anda harus mengubah kebijakan kepercayaan peran tersebut. Anda tidak dapat mengubah kebijakan kepercayaan untuk peran yang terkait dengan layanan.

Catatan

  • Jika pengguna terdaftar sebagai prinsipal dalam kebijakan kepercayaan peran, tetapi tidak dapat mengasumsikan peran tersebut, periksa batas izin pengguna tersebut. Jika batas izin diatur untuk pengguna tersebut, maka itu seharusnya memungkinkan tindakan sts:AssumeRole.

  • Untuk memungkinkan pengguna untuk mengambil peran saat ini lagi dalam sesi peran, tentukan peran ARN atau Akun AWS ARN sebagai prinsipal dalam kebijakan kepercayaan peran. Layanan AWS yang menyediakan sumber daya komputasi seperti Amazon EC2, Amazon ECS, Amazon EKS, dan Lambda memberikan kredensi sementara dan secara otomatis memperbarui kredensional ini. Ini memastikan bahwa Anda selalu memiliki seperangkat kredensional yang valid. Untuk layanan ini, tidak perlu mengambil peran saat ini lagi untuk mendapatkan kredensi sementara. Namun, jika Anda berniat untuk meneruskan tag sesi atau kebijakan sesi, Anda perlu mengambil peran saat ini lagi. Untuk mempelajari cara memodifikasi kebijakan kepercayaan peran untuk menambahkan peran utama ARN atau Akun AWS ARN, lihat. Mengubah kebijakan kepercayaan peran (konsole)

Untuk mengubah kebijakan kepercayaan peran (AWS CLI)

  1. (Opsional) Jika Anda tidak tahu nama peran yang ingin Anda ubah, jalankan perintah berikut untuk membuat daftar peran di akun Anda:

  2. (Opsional) Untuk melihat penjelasan peran terkini, gunakan perintah berikut:

  3. Untuk mengubah prinsipal terpercaya yang dapat mengakses peran, buat file teks dengan kebijakan kepercayaan yang diperbarui. Anda dapat menggunakan editor teks apa pun untuk menyusun kebijakan.

    Misalnya, kebijakan kepercayaan berikut menunjukkan cara Akun AWS mereferensikan dua Principal elemen. Hal ini memungkinkan pengguna dalam dua terpisah Akun AWS untuk mengambil peran ini.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}

    Jika Anda menetapkan prinsipal di akun lain, menambahkan akun ke kebijakan kepercayaan dari suatu peran hanya setengah dari membangun hubungan kepercayaan lintas akun. Secara default, tidak ada pengguna dalam akun terpercaya yang dapat mengasumsikan peran tersebut. Administrator untuk akun yang baru dipercaya harus memberikan izin kepada pengguna untuk mengasumsikan peran tersebut. Untuk melakukannya, administrator harus membuat atau mengubah kebijakan yang dilampirkan pada pengguna untuk memberikan akses kepada pengguna ke tindakan sts:AssumeRole. Untuk informasi selengkapnya, lihat prosedur berikut atau Memberikan izin pengguna untuk berganti peran.

  4. Untuk menggunakan file yang baru saja Anda buat untuk memperbarui kebijakan kepercayaan, jalankan perintah berikut:

Untuk mengizinkan pengguna dalam akun eksternal tepercaya untuk menggunakan peran (AWS CLI)

Untuk informasi dan detail selengkapnya tentang prosedur ini, lihat Memberikan izin pengguna untuk berganti peran.

  1. Buat file JSON yang berisi kebijakan izin yang memberikan izin untuk mengasumsikan peran tersebut. Misalnya, kebijakan berikut memuat izin minimum yang diperlukan:

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}

    Ganti ARN dalam pernyataan dengan ARN dari peran yang dapat diasumsikan oleh pengguna.

  2. Jalankan perintah berikut untuk mengunggah file JSON yang berisi kebijakan kepercayaan ke IAM:

    Keluaran dari perintah ini mencakup ARN kebijakan. Catat ARN ini karena Anda akan memerlukannya di langkah berikutnya.

  3. Tentukan pengguna atau kelompok mana yang akan dilampiri kebijakan ini. Jika Anda tidak tahu nama pengguna atau kelompok yang dimaksudkan, gunakan salah satu perintah berikut untuk membuat daftar pengguna atau kelompok di akun Anda:

  4. Gunakan salah satu perintah berikut untuk melampirkan kebijakan yang Anda buat pada langkah sebelumnya kepada pengguna atau kelompok:

Mengubah kebijakan izin peran (AWS CLI)

Untuk mengubah izin yang diperbolehkan oleh peran tersebut, ubah kebijakan (atau beberapa kebijakan) izin peran tersebut. Anda tidak dapat mengubah kebijakan kepercayaan untuk peran yang terkait dengan layanan dalam IAM. Anda mungkin dapat mengubah kebijakan izin dalam layanan yang bergantung pada peran tersebut. Untuk memeriksa apakah layanan mendukung fitur ini, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya dalam kolom Peran yang terkait dengan layanan. Pilih Ya dengan tautan untuk melihat dokumentasi peran yang terkait dengan layanan untuk layanan tersebut.

Untuk mengubah izin yang diperbolehkan oleh peran (AWS CLI)

  1. (Opsional) Untuk melihat izin yang saat ini terkait dengan peran, jalankan perintah berikut:

    1. aws iam list-role-policies untuk mencantumkan kebijakan sebaris

    2. aws iam list-attached-role-policies untuk membuat daftar kebijakan terkelola

  2. Perintah untuk memperbarui izin untuk peran berbeda-beda tergantung pada apakah Anda memperbarui kebijakan terkelola atau kebijakan inline.

    Untuk memperbarui kebijakan terkelola, panggil operasi berikut untuk membuat versi baru kebijakan terkelola:

    Untuk memperbarui kebijakan inline, jalankan perintah berikut:

Mengubah deskripsi peran (AWS CLI)

Untuk mengubah deskripsi peran, ubah teks deskripsi.

Untuk mengubah deskripsi peran (AWS CLI)

  1. (Opsional) Untuk melihat deskripsi peran terkini, jalankan perintah berikut:

  2. Untuk memperbarui deskripsi peran, jalankan perintah berikut dengan parameter deskripsi:

Mengubah durasi sesi maksimum peran (AWS CLI)

Untuk menentukan pengaturan durasi sesi maksimum untuk peran yang diasumsikan menggunakan AWS CLI atau API, ubah nilai pengaturan durasi sesi maksimum. Pengaturan ini dapat memiliki nilai dari 1 jam hingga 12 jam. Jika Anda tidak menentukan nilai, defaultnya maksimum 1 jam diterapkan. Pengaturan ini tidak membatasi sesi yang diasumsikan oleh AWS layanan.

catatan

Siapa pun yang mengambil peran dari AWS CLI atau API dapat menggunakan parameter duration-seconds CLI atau parameter API untuk meminta sesi DurationSeconds yang lebih lama. Pengaturan MaxSessionDuration menentukan durasi maksimum dari sesi peran yang dapat diminta dengan menggunakan parameter DurationSeconds. Jika pengguna tidak menentukan nilai untuk parameter DurationSeconds tersebut, kredensial keamanan mereka berlaku selama satu jam.

Untuk mengubah pengaturan durasi sesi maksimum untuk peran yang diasumsikan menggunakan AWS CLI (AWS CLI)

  1. (Opsional) Untuk melihat durasi sesi maksimum peran untuk peran, jalankan perintah berikut:

  2. Untuk memperbarui pengaturan durasi sesi maksimum peran, jalankan perintah berikut dengan parameter max-session-duration CLI atau parameter API MaxSessionDuration:

    Perubahan Anda tidak berlaku sampai saat berikutnya seseorang mengasumsikan peran ini. Untuk mempelajari cara mencabut sesi yang ada untuk peran ini, lihat Mencabut kredensial keamanan sementara peran IAM.

Mengubah batas izin peran (AWS CLI)

Untuk mengubah izin maksimum yang diperbolehkan untuk peran, ubah batas izin peran.

Untuk mengubah kebijakan terkelola yang digunakan untuk mengatur batas izin peran (AWS CLI)

  1. (Opsional) Untuk melihat batas izin terkini untuk peran, jalankan perintah berikut:

  2. Untuk menggunakan kebijakan terkelola yang berbeda untuk memperbarui batas izin untuk peran, jalankan perintah berikut:

    Peran hanya dapat memiliki satu kebijakan terkelola yang diatur sebagai batas izin. Jika Anda mengubah batas izin, Anda juga mengubah izin maksimum yang diperbolehkan untuk peran.