Concedere a un utente le autorizzazioni per cambiare ruolo - AWS Identity and Access Management
Creazione o modifica della policyFornire informazioni all'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concedere a un utente le autorizzazioni per cambiare ruolo

Quando un amministratore crea un ruolo per l'accesso multi-account, stabilisce l'attendibilità tra l'account proprietario del ruolo e le risorse (account che determina l'attendibilità) e l'account che contiene gli utenti (account attendibile). A tale scopo, l'amministratore dell'account attendibile specifica il numero dell'account attendibile come Principal nella policy di attendibilità del ruolo. Ciò consente potenzialmente a qualsiasi utente nell'account attendibile di assumere il ruolo. Per completare la configurazione, l'amministratore dell'account attendibile deve fornire a determinati gruppi o utenti dell'account l'autorizzazione per il passaggio al ruolo.

Concessione dell'autorizzazione per passare a un ruolo

  1. In qualità di amministratore dell'account attendibile, crea una nuova policy per l'utente oppure modifica una policy esistente per aggiungere gli elementi richiesti. Per informazioni dettagliate, consultare Creazione o modifica della policy.

  2. Quindi decidi come desideri eseguire la condivisione delle informazioni sul ruolo:

    • Role link (Link del ruolo): invia agli utenti un collegamento che indirizza alla pagina Switch Role (Cambia ruolo) con tutti i dettagli già compilati.

    • ID account o alias: fornisci a ciascun utente il nome del ruolo insieme al numero dell'ID account o all'alias dell'account. L'utente accede quindi alla pagina Switch Role (Cambia ruolo) e aggiunge i dettagli manualmente.

    Per informazioni dettagliate, consultare Fornire informazioni all'utente.

Tieni presente che puoi cambiare ruolo solo quando accedi come IAM utente, ruolo SAML -federated o ruolo federato web-identity. Non è possibile cambiare i ruoli se si effettua l'accesso come Utente root dell'account AWS.

Importante

Non è possibile passare da un ruolo a un ruolo AWS Management Console che richiede un valore. ExternalId È possibile passare a tale ruolo solo chiamando il nome AssumeRoleAPIche supporta il ExternalId parametro.

Note

  • In questo argomento sono descritte le policy per un utente poiché sostanzialmente concedi autorizzazioni a un utente per l'esecuzione di un'operazione. Tuttavia, consigliamo di non concedere le autorizzazioni direttamente a un singolo utente. Quando un utente assume un ruolo, gli vengono assegnate le autorizzazioni associate a quel ruolo.

  • Quando si cambia ruolo in AWS Management Console, la console utilizza sempre le credenziali originali per autorizzare lo switch. Ciò vale sia che si acceda come IAM utente, come ruolo federato o come ruolo SAML federato per identità Web. Ad esempio, se si passa a RolEAIAM, utilizza le credenziali utente o del ruolo federato originali per determinare se è consentito assumere il ruolo RolEA. Se provi quindi a passare al RuoloB mentre stai utilizzando il RuoloA, per autorizzare il tentativo vengono utilizzate le credenziali utente originali o le credenziali del ruolo federato. Le credenziali per RuoloA non vengono utilizzate per questa operazione.

Creazione o modifica della policy

Una policy che concede a un utente l'autorizzazione di assumere un ruolo deve includere una dichiarazione con effetto Allow per quanto segue:

  • L'operazione sts:AssumeRole

  • L'Amazon Resource Name (ARN) del ruolo in un Resource elemento

Agli utenti che ottengono la policy (mediante l'appartenenza a un gruppo o collegata direttamente) è consentito cambiare ruoli sulla risorsa specificata.

Nota

Se Resource è impostato su *, l'utente può assumere qualsiasi ruolo in qualsiasi account che considera l'account utente attendibile. (In altre parole, la policy di attendibilità del ruolo specifica l'account dell'utente come Principal). Come best practice, ti consigliamo di seguire il principio del privilegio minimo e di specificare il completo solo ARN per i ruoli di cui l'utente ha bisogno.

L'esempio seguente mostra una policy che consente all'utente di assumere ruoli in un unico account. Inoltre, la policy utilizza un carattere jolly (*) per specificare che l'utente può passare a un ruolo solo se il nome del ruolo inizia con le lettere Test.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::account-id:role/Test*"
  }
}
Nota

Le autorizzazioni che il ruolo concede all'utente non vengono aggiunte alle autorizzazioni già concesse per l'utente. Quando un utente passa a un ruolo, l'utente rinuncia temporaneamente alle proprie autorizzazioni originali in cambio di quelle concesse dal ruolo. Quando l'utente esce dal ruolo, le autorizzazioni originali dell'utente vengono ripristinate automaticamente. Ad esempio, supponiamo che le autorizzazioni dell'utente consentano di lavorare con EC2 le istanze Amazon, ma la politica delle autorizzazioni del ruolo non concede tali autorizzazioni. In tal caso, durante l'utilizzo del ruolo, l'utente non può lavorare con EC2 le istanze Amazon nella console. Inoltre, le credenziali temporanee ottenute tramite non AssumeRole funzionano con le EC2 istanze Amazon a livello di codice.

Fornire informazioni all'utente

Dopo aver creato un ruolo e concesso all'utente le autorizzazioni per passare a tale ruolo, è necessario fornire all'utente quanto segue:

  • Il nome del ruolo

  • L'ID o l'alias dell'account che contiene il ruolo

Puoi semplificare le operazioni per gli utenti inviando loro un collegamento preconfigurato con l'ID account e il nome del ruolo. Puoi visualizzare il collegamento al ruolo dopo aver completato la procedura guidata Crea ruolo selezionando il banner Visualizza ruolo o nella pagina Riepilogo del ruolo per qualsiasi ruolo abilitato per più account.

È inoltre possibile utilizzare il formato seguente per creare manualmente il collegamento. Sostituisci l'ID account o alias e il nome del ruolo per i due parametri nel seguente esempio:

https://signin.aws.amazon.com/switchrole?account=your_account_ID_or_alias&roleName=optional_path/role_name

Consigliamo di suggerire agli utenti di consultare l'argomento Passare da un utente a un IAM ruolo (console) per guidarli nel processo. Per risolvere i problemi più comuni che si possono verificare quando si assume un ruolo, consulta la pagina Non è possibile assumere un ruolo.

Considerazioni

  • Se crei il ruolo in maniera programmatica, puoi crearlo con un percorso e un nome. In tal caso, è necessario fornire il percorso completo e il nome del ruolo agli utenti in modo che possano specificare queste informazioni sulla pagina Cambia ruolo della AWS Management Console. Ad esempio: division_abc/subdivision_efg/role_XYZ.

  • Se crei il ruolo in maniera programmatica, potrai aggiungere un Path con un massimo di 512 caratteri e un RoleName. Il nome del ruolo può contenere un massimo di 64 caratteri. Tuttavia, per utilizzare un ruolo con la funzione Switch Role in AWS Management Console, la combinazione di caratteri RoleName non può superare i Path 64 caratteri.

  • Per motivi di sicurezza, puoi esaminare AWS CloudTrail i log per scoprire chi ha eseguito un'azione in AWS. È possibile utilizzare la chiave di condizione sts:SourceIdentity nella policy di attendibilità del ruolo per richiedere agli utenti di specificare un'identità quando assumono un ruolo. Ad esempio, puoi richiedere che IAM gli utenti specifichino il proprio nome utente come identità di origine. In questo modo è possibile determinare quale utente ha eseguito un'operazione specifica in AWS. Per ulteriori informazioni, consulta sts:SourceIdentity. Puoi utilizzare sts:RoleSessionName anche per richiedere agli utenti di specificare un nome di sessione quando assumono un ruolo. Ciò consente di distinguere tra le sessioni di ruolo quando un ruolo viene utilizzato da principali diversi.