Asumsikan penyedia kredensi peran

Dengan asumsi peran melibatkan penggunaan seperangkat kredensil keamanan sementara untuk mengakses AWS sumber daya yang mungkin tidak dapat Anda akses sebaliknya. Kredensial sementara ini terdiri dari access key ID, secret access key, dan token keamanan.

Untuk menyiapkan SDK atau alat untuk mengambil peran, Anda harus terlebih dahulu membuat atau mengidentifikasi peran tertentu yang akan diambil. Peran IAM diidentifikasi secara unik oleh peran Amazon Resource Name (ARN). Peran membangun hubungan kepercayaan dengan entitas lain. Entitas tepercaya yang menggunakan peran tersebut mungkin Layanan AWS, yang lain Akun AWS, penyedia identitas web atau OIDC, atau federasi SAFL.

Setelah peran IAM diidentifikasi, jika Anda dipercaya oleh peran tersebut, Anda dapat mengonfigurasi SDK atau alat untuk menggunakan izin yang diberikan oleh peran tersebut. Untuk melakukan ini, gunakan pengaturan berikut.

Untuk panduan tentang mulai menggunakan pengaturan ini, lihat Asumsikan peran di panduan ini.

Asumsikan pengaturan penyedia kredensi peran

Konfigurasikan fungsi ini dengan menggunakan yang berikut ini:

credential_source- Pengaturan AWS config file bersama

Digunakan dalam instans Amazon EC2 atau penampung Amazon Elastic Container Service untuk menentukan tempat SDK atau alat dapat menemukan kredensil yang memiliki izin untuk mengambil peran yang Anda tentukan dengan parameter. role_arn

Nilai default: Tidak ada

Nilai yang valid:

• Lingkungan - Menentukan bahwa SDK atau alat adalah untuk mengambil kredenal sumber dari variabel lingkungan dan. AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY

• Ec2 InstanceMetadata — Menentukan bahwa SDK atau alat adalah menggunakan peran IAM yang dilampirkan ke profil instans EC2 untuk mendapatkan kredensil sumber.

• EcsContainer— Menentukan bahwa SDK atau alat adalah menggunakan peran IAM yang dilampirkan ke wadah ECS untuk mendapatkan kredensi sumber.

Anda tidak dapat menentukan keduanya credential_source dan source_profile di profil yang sama.

Contoh pengaturan ini dalam config file untuk menunjukkan bahwa kredensil harus bersumber dari Amazon EC2:

credential_source = Ec2InstanceMetadata
role_arn = arn:aws:iam::123456789012:role/my-role-name

duration_seconds- Pengaturan AWS config file bersama

Menentukan durasi maksimum sesi peran, dalam hitungan detik.

Pengaturan ini hanya berlaku ketika profil menentukan untuk mengambil peran.

Nilai default: 3600 detik (satu jam)

Nilai yang valid: Nilai dapat berkisar dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum yang dikonfigurasi untuk peran (yang bisa maksimal 43200 detik, atau 12 jam). Untuk informasi selengkapnya, lihat Melihat Pengaturan Durasi Sesi Maksimum untuk Peran di Panduan Pengguna IAM.

Contoh pengaturan ini dalam config file:

duration_seconds = 43200

external_id- Pengaturan AWS config file bersama

Menentukan pengenal unik yang digunakan oleh pihak ketiga untuk mengambil peran dalam akun pelanggan mereka.

Setelan ini hanya berlaku jika profil menetapkan untuk mengambil peran dan kebijakan kepercayaan untuk peran tersebut memerlukan nilai untukExternalId. Nilai memetakan ke ExternalId parameter yang diteruskan ke AssumeRole operasi saat profil menentukan peran.

Nilai default: Tidak ada.

Nilai yang valid: Lihat Cara menggunakan ID Eksternal Saat Memberikan Akses ke AWS Sumber Daya Anda kepada Pihak Ketiga dalam Panduan Pengguna IAM.

Contoh pengaturan ini dalam config file:

external_id = unique_value_assigned_by_3rd_party

mfa_serial- Pengaturan AWS config file bersama

Menentukan identifikasi atau nomor seri perangkat otentikasi multi-faktor (MFA) yang harus digunakan pengguna saat mengambil peran.

Diperlukan saat mengasumsikan peran di mana kebijakan kepercayaan untuk peran itu mencakup kondisi yang memerlukan otentikasi MFA.

Nilai default: Tidak ada.

Nilai yang valid: Nilai dapat berupa nomor seri untuk perangkat keras (sepertiGAHT12345678), atau Nama Sumber Daya Amazon (ARN) untuk perangkat MFA virtual. Untuk informasi selengkapnya tentang MFA, lihat Mengonfigurasi Akses API yang dilindungi MFA di Panduan Pengguna IAM.

Contoh pengaturan ini dalam config file:

mfa_serial = arn:aws:iam::123456789012:mfa/my-user-name

role_arn- Pengaturan AWS config file bersama

AWS_IAM_ROLE_ARN- variabel lingkungan

aws.roleArn- Properti sistem JVM: Hanya Java/Kotlin

Menentukan Nama Sumber Daya Amazon (ARN) peran IAM yang ingin Anda gunakan untuk melakukan operasi yang diminta menggunakan profil ini.

Nilai default: Tidak ada.

Nilai yang valid: Nilai harus ARN dari peran IAM, diformat sebagai berikut: arn:aws:iam::account-id:role/role-name

Selain itu, Anda juga harus menentukan salah satu pengaturan berikut:

• source_profile— Untuk mengidentifikasi profil lain yang akan digunakan untuk menemukan kredensil yang memiliki izin untuk mengambil peran dalam profil ini.

• credential_source— Untuk menggunakan kredenal yang diidentifikasi oleh variabel lingkungan saat ini atau kredenal yang dilampirkan ke profil instans Amazon EC2, atau instans penampung Amazon ECS.

• web_identity_token_fileUntuk menggunakan penyedia identitas publik atau penyedia identitas yang kompatibel dengan OpenID Connect (OIDC) untuk pengguna yang telah diautentikasi dalam aplikasi seluler atau web.

role_session_name- Pengaturan AWS config file bersama

AWS_IAM_ROLE_SESSION_NAME- variabel lingkungan

aws.roleSessionName- Properti sistem JVM: Hanya Java/Kotlin

Menentukan nama untuk melampirkan ke sesi peran. Nama ini muncul di AWS CloudTrail log untuk entri yang terkait dengan sesi ini, yang dapat berguna saat mengaudit.

Nilai default: Parameter opsional. Jika Anda tidak memberikan nilai ini, nama sesi akan dibuat secara otomatis jika profil mengambil peran.

Nilai yang valid: Disediakan untuk RoleSessionName parameter saat AWS API AWS CLI atau memanggil AssumeRole operasi (atau operasi seperti AssumeRoleWithWebIdentity operasi) atas nama Anda. Nilai menjadi bagian dari pengguna peran yang diasumsikan Amazon Resource Name (ARN) yang dapat Anda kueri, dan muncul sebagai bagian dari entri CloudTrail log untuk operasi yang dipanggil oleh profil ini.

arn:aws:sts::123456789012:assumed-role/my-role-name/my-role_session_name.

Contoh pengaturan ini dalam config file:

role_session_name = my-role-session-name

source_profile- Pengaturan AWS config file bersama

Menentukan profil lain yang kredensialnya digunakan untuk mengambil peran yang ditentukan oleh role_arn pengaturan di profil asli. Untuk memahami bagaimana profil digunakan dalam file bersama AWS config dan credentials file, lihatBerbagi config dan credentials file.

Jika Anda menentukan profil yang juga merupakan profil peran asumsi, setiap peran akan diasumsikan secara berurutan untuk menyelesaikan kredensialnya sepenuhnya. Rantai ini dihentikan saat SDK menemukan profil dengan kredensil. Role chaining membatasi sesi peran Anda AWS CLI atau AWS API hingga maksimal satu jam dan tidak dapat ditingkatkan. Untuk informasi selengkapnya, lihat Istilah dan konsep peran dalam Panduan Pengguna IAM.

Nilai default: Tidak ada.

Nilai yang valid: String teks yang terdiri dari nama profil yang ditentukan dalam credentials file config dan. Anda juga harus menentukan nilai untuk role_arn di profil saat ini.

Anda tidak dapat menentukan keduanya credential_source dan source_profile di profil yang sama.

Contoh pengaturan ini dalam file konfigurasi:

[profile A]
source_profile = B
role_arn =  arn:aws:iam::123456789012:role/RoleA
                
[profile B]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token=IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

Pada contoh sebelumnya, A profil menggunakan kredensil di profil. B Ketika Anda menentukan bahwa SDK atau alat harus menggunakan A profil, SDK atau alat secara otomatis mencari kredensil untuk B profil tertaut dan menggunakannya untuk meminta kredensil sementara untuk peran IAM yang ditentukan. SDK atau alat menggunakan AssumeRole operasi sts: di latar belakang untuk mencapai ini. Kredensi sementara tersebut kemudian digunakan oleh kode Anda untuk mengakses AWS sumber daya. Peran yang ditentukan harus memiliki kebijakan izin IAM yang dilampirkan yang memungkinkan kode yang diminta berjalan, seperti perintah Layanan AWS, atau metode API.

web_identity_token_file- Pengaturan AWS config file bersama

AWS_WEB_IDENTITY_TOKEN_FILE- variabel lingkungan

aws.webIdentityTokenFile- Properti sistem JVM: Hanya Java/Kotlin

Menentukan path ke file yang berisi token akses dari penyedia OAuth 2.0 yang didukung atau penyedia identitas OpenID Connect ID.

Pengaturan ini memungkinkan otentikasi dengan menggunakan penyedia federasi identitas web, seperti Google, Facebook, dan Amazon, di antara banyak lainnya. SDK atau alat pengembang memuat konten file ini dan meneruskannya sebagai WebIdentityToken argumen saat memanggil AssumeRoleWithWebIdentity operasi atas nama Anda.

Nilai default: Tidak ada.

Nilai yang valid: Nilai ini harus berupa jalur dan nama file. File harus berisi token akses OAuth 2.0 atau token OpenID Connect yang diberikan kepada Anda oleh penyedia identitas. Jalur relatif diperlakukan sebagai relatif terhadap direktori kerja proses.

Kompatibilitas dengan AWS SDK

SDK berikut mendukung fitur dan pengaturan yang dijelaskan dalam topik ini. Setiap pengecualian sebagian dicatat. Setiap pengaturan properti sistem JVM didukung oleh AWS SDK for Java dan satu-satunya. AWS SDK for Kotlin

SDK	Didukung	Catatan atau informasi lebih lanjut
AWS CLI v2	Ya
SDK for C++	Parsial	credential_sourcetidak didukung. duration_secondstidak didukung. mfa_serialtidak didukung.
SDK for Go V2 (1.x)	Ya
SDK for Go 1.x (V1)	Ya	Untuk menggunakan pengaturan config file bersama, Anda harus mengaktifkan pemuatan dari file konfigurasi; lihat Sesi.
SDK for Java 2.x	Parsial	mfa_serialtidak didukung. Gunakan AWS_ROLE_ARN sebagai penggantiAWS_IAM_ROLE_ARN. Gunakan AWS_ROLE_SESSION_NAME sebagai penggantiAWS_IAM_ROLE_SESSION_NAME.
SDK for Java 1.x	Parsial	mfa_serialtidak didukung. Properti sistem JVM tidak didukung.
SDK untuk 3.x JavaScript	Ya
SDK untuk 2.x JavaScript	Parsial	credential_sourcetidak didukung.
SDK para Kotlin	Ya	Gunakan AWS_ROLE_ARN sebagai penggantiAWS_IAM_ROLE_ARN. Gunakan AWS_ROLE_SESSION_NAME sebagai penggantiAWS_IAM_ROLE_SESSION_NAME.
SDK for .NET 3.x	Ya
SDK for PHP 3.x	Ya
SDK untuk Python (Boto3)	Ya
SDK for Ruby 3.x	Ya
SDK untuk Rust	Ya
Alat untuk PowerShell	Ya