Modifica di una policy di attendibilità del ruolo (AWS CLI)Modifica di una policy di autorizzazioni del ruolo (AWS CLI)Modifica di una descrizione del ruolo (AWS CLI)Modifica della durata massima della sessione di un ruolo (AWS CLI)Modifica di un limite delle autorizzazioni di un ruolo (AWS CLI)

Modifica di un ruolo (AWS CLI)

È possibile utilizzare il AWS Command Line Interface per modificare un ruolo. Per modificare il set di tag su un ruolo, consulta Gestione dei tag sui ruoli (AWS CLI o AWS API) IAM.

Argomenti

Modifica di una policy di attendibilità del ruolo (AWS CLI)
Modifica di una policy di autorizzazioni del ruolo (AWS CLI)
Modifica di una descrizione del ruolo (AWS CLI)
Modifica della durata massima della sessione di un ruolo (AWS CLI)
Modifica di un limite delle autorizzazioni di un ruolo (AWS CLI)

Modifica di una policy di attendibilità del ruolo (AWS CLI)

Per cambiare l'utente che può assumere un ruolo, modifica la policy di affidabilità del ruolo. Non puoi modificare la policy di attendibilità per un ruolo collegato al servizio.

Note

Se un utente viene elencato come principale in una policy di attendibilità del ruolo ma non può assumere il ruolo, controlla il limite delle autorizzazioni dell'utente. Se è impostato un limite delle autorizzazioni per l'utente, questo deve consentire l'operazione sts:AssumeRole.
Per consentire agli utenti di assumere nuovamente il ruolo corrente all'interno di una sessione di ruolo, specificare il ruolo ARN o Account AWS ARN come principale nella politica di attendibilità dei ruoli. AWS services che forniscono risorse di elaborazione come Amazon EC2, Amazon ECS, Amazon EKS e Lambda forniscono credenziali temporanee e aggiornano automaticamente tali credenziali. Ciò garantisce di disporre sempre di un set di credenziali valido. Per questi servizi, non è necessario riassumere il ruolo attuale per ottenere credenziali temporanee. Tuttavia, se intendi passare tag di sessione o una Policy di sessione, devi riassumere il ruolo attuale. Per informazioni su come modificare una politica di attendibilità dei ruoli per aggiungere il ruolo principale ARN o Account AWS ARN, vedere. Modifica di una policy di attendibilità del ruolo (Console)

Per modificare una policy di attendibilità del ruolo (AWS CLI)

(Facoltativo) Se non si conosce il nome del ruolo da modificare, eseguire il comando seguente per elencare i ruoli nell'account:
- aws iam list-roles
(Facoltativo) Per visualizzare la policy di affidabilità corrente per un ruolo, eseguire il comando seguente:
- aws iam get-role
Per modificare le entità principali attendibili che possono accedere al ruolo, creare un file di testo con la policy di affidabilità aggiornata. È possibile usare qualsiasi editor di testo per creare la policy.

Ad esempio, la seguente politica di fiducia mostra come fare riferimento a due Account AWS nell'Principalelemento. In questo modo gli utenti all'interno di due diversi Account AWS possono assumere questo ruolo.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}
```
Se specifichi un'entità principale in un altro account, l'aggiunta di un account alla policy di attendibilità di un ruolo è solo una parte della creazione della relazione di trust tra più account. Per impostazione predefinita, gli utenti negli account attendibili non possono assumere il ruolo. L'amministratore del nuovo account attendibile deve concedere agli utenti l'autorizzazione ad assumere il ruolo. A tale scopo, l'amministratore deve creare o modificare una policy collegata all'utente per consentire all'utente di accedere all'operazione sts:AssumeRole. Per ulteriori informazioni, consultare la procedura seguente o Concessione di autorizzazioni agli utenti per il cambio di ruoli.
Per utilizzare il file creato per aggiornare la policy di attendibilità, eseguire il comando seguente:
- era io update-assume-role-policy

Per permettere agli utenti in un account esterno attendibile di usare il ruolo (AWS CLI)

Per ulteriori informazioni e dettagli su questa procedura, consultare Concessione di autorizzazioni agli utenti per il cambio di ruoli.

Creare un file JSON contenente una policy di autorizzazione che concede le autorizzazioni ad assumere il ruolo. La policy seguente contiene ad esempio le autorizzazioni minime necessarie:
```
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}
```
Sostituire l'ARN nell'istruzione con l'ARN del ruolo che l'utente può assumere.
Esegui il comando seguente per caricare il file JSON contenente la policy di attendibilità in IAM:
- aws iam create-policy
L'output di questo comando include l'ARN della policy. Prendere nota di questo ARN, perché sarà necessario in una fase successiva.
Stabilire a quale utente o gruppo collegare la policy. Se non si conosce il nome dell'utente o del gruppo desiderato, usare uno dei comandi seguenti per elencare gli utenti o i gruppi nell'account:
- aws iam list-users
- aws iam list-groups
Usare uno dei comandi seguenti per collegare la policy creata nel passaggio precedente all'utente o al gruppo:
- era io attach-user-policy
- era io attach-group-policy

Modifica di una policy di autorizzazioni del ruolo (AWS CLI)

Per modificare le autorizzazioni permesse dal ruolo, modifica la policy (o le policy) di autorizzazioni del ruolo. Non è possibile modificare la policy di autorizzazione per un ruolo collegato ai servizi in IAM. Potresti essere in grado di modificare la policy di autorizzazione all'interno del servizio che dipende dal ruolo. Per controllare se un servizio supporta questa funzionalità, consulta AWS servizi che funzionano con IAM e individua i servizi che hanno Sì nella colonna Ruoli collegati ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Per modificare le autorizzazioni permesse da un ruolo (AWS CLI)

(Facoltativo) Per visualizzare le autorizzazioni correnti associate a un ruolo, eseguire i comandi seguenti:
1. aws iam list-role-policies per elencare le politiche in linea
2. aws mira list-attached-role-policies a elencare le politiche gestite
Il comando per aggiornare le autorizzazioni per il ruolo varia a seconda del fatto che si aggiorni una policy gestita o una policy inline.

Per aggiornare una policy gestita, eseguire il comando seguente per creare una nuova versione della policy gestita:
- era io create-policy-version
Per aggiornare una policy inline, eseguire il comando seguente:
- era io put-role-policy

Modifica di una descrizione del ruolo (AWS CLI)

Per cambiare la descrizione del ruolo, modifica il testo di descrizione.

Per modificare la descrizione di un ruolo (AWS CLI)

(Facoltativo) Per visualizzare la descrizione corrente di un ruolo, eseguire il comando seguente:
- aws iam get-role
Per aggiornare la descrizione di un ruolo, eseguire il comando seguente con il parametro relativo alla descrizione:
- aws iam update-role

Modifica della durata massima della sessione di un ruolo (AWS CLI)

Per specificare l'impostazione della durata massima della sessione per i ruoli assunti tramite AWS CLI o API, modifica il valore di tale impostazione. Questa impostazione può avere un valore compreso tra 1 ora e 12 ore. Se non specifichi un valore, viene applicata l'impostazione predefinita massima di 1 ora. Questa impostazione non limita le sessioni assunte dai AWS servizi.

Nota

Chiunque assuma il ruolo dell'API AWS CLI o può utilizzare il parametro duration-seconds CLI o DurationSeconds il parametro API per richiedere una sessione più lunga. L'impostazione MaxSessionDuration determina la durata massima della sessione del ruolo che può essere richiesta usando il parametro DurationSeconds. Se gli utenti non specificano un valore per il parametro DurationSeconds le loro credenziali di sicurezza rimangono valide per un'ora.

Per modificare l'impostazione della durata massima della sessione per i ruoli assunti tramite AWS CLI (AWS CLI)

(Facoltativo) Per visualizzare l'impostazione della durata massima della sessione corrente per un ruolo, eseguire il comando seguente:
- aws iam get-role
Per aggiornare l'impostazione della durata massima della sessione di un ruolo, eseguire il comando seguente con il parametro max-session-duration della CLI oppure il parametro API MaxSessionDuration:
- aws iam update-role
Le modifiche non verranno applicate fino alla volta successiva in cui qualcuno assume questo ruolo. Per informazioni su come revocare le sessioni esistenti per il ruolo, consultare Revoca delle credenziali di sicurezza temporanee per i ruoli IAM.

Modifica di un limite delle autorizzazioni di un ruolo (AWS CLI)

Per modificare il numero massimo di autorizzazioni consentite per un ruolo, modifica il limite delle autorizzazioni del ruolo.

Per modificare la policy gestita utilizzata per impostare il limite delle autorizzazioni per un ruolo (AWS CLI)

(Facoltativo) Per visualizzare il limite delle autorizzazioni corrente per un ruolo, eseguire il comando seguente:
- aws iam get-role
Per usare un'altra policy gestita per aggiornare il limite delle autorizzazioni per un ruolo, eseguire il comando seguente:
- era aim put-role-permissions-boundary
Un ruolo può avere solo una policy gestita impostata come limite delle autorizzazioni. Modificando il limite delle autorizzazioni è possibile modificare il numero massimo di autorizzazioni consentite per un ruolo.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Modifica di un ruolo (console)

Modifica di un ruolo (AWS API)