Assumi le impostazioni del fornitore di credenziali di ruolo Compatibilità con gli AWS SDK

Assumi il ruolo di fornitore di credenziali

Assumere un ruolo implica l'utilizzo di un set di credenziali di sicurezza temporanee per accedere a AWS risorse a cui altrimenti non avresti accesso. Le credenziali temporanee sono costituite da un ID chiave di accesso, una chiave di accesso segreta e un token di sicurezza.

Per configurare l'SDK o lo strumento per assumere un ruolo, devi prima creare o identificare un ruolo specifico da assumere. I ruoli IAM sono identificati in modo univoco da un ruolo Amazon Resource Name (ARN). I ruoli stabiliscono relazioni di fiducia con un'altra entità. L'entità affidabile che utilizza il ruolo potrebbe essere un'altra Servizio AWS Account AWS, un provider di identità Web o una federazione OIDC o SAML.

Dopo aver identificato il ruolo IAM, se quel ruolo ti affida la fiducia, puoi configurare il tuo SDK o lo strumento per utilizzare le autorizzazioni concesse dal ruolo. A tale scopo, utilizza le seguenti impostazioni.

Per indicazioni su come iniziare a utilizzare queste impostazioni, Assunzione di un ruolo consulta questa guida.

Assumi le impostazioni del fornitore di credenziali di ruolo

Configura questa funzionalità utilizzando quanto segue:

credential_source- impostazione dei AWS config file condivisi

Utilizzato all'interno delle istanze Amazon EC2 o dei contenitori Amazon Elastic Container Service per specificare dove l'SDK o lo strumento possono trovare le credenziali autorizzate ad assumere il ruolo specificato con il parametro. role_arn

Valore predefinito: Nessuno

Valori validi:

Ambiente: specifica che l'SDK o lo strumento devono recuperare le credenziali di origine dalle variabili di ambiente e. AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY
Ec2 InstanceMetadata: specifica che l'SDK o lo strumento deve utilizzare il ruolo IAM collegato al profilo dell'istanza EC2 per ottenere le credenziali di origine.
EcsContainer— Speciifica che l'SDK o lo strumento deve utilizzare il ruolo IAM collegato al contenitore ECS per ottenere le credenziali di origine.

Non è possibile specificare sia credential_source sia source_profile nello stesso profilo.

Esempio di impostazione in un config file per indicare che le credenziali devono provenire da Amazon EC2:


credential_source = Ec2InstanceMetadata
role_arn = arn:aws:iam::123456789012:role/my-role-name

duration_seconds- impostazione di file condivisi AWS config

Specifica la durata massima della sessione del ruolo, in secondi.

Questa impostazione si applica solo quando il profilo specifica di assumere un ruolo.

Valore predefinito: 3600 secondi (un'ora)

Valori validi: il valore può variare da 900 secondi (15 minuti) fino all'impostazione della durata massima della sessione configurata per il ruolo (che può essere un massimo di 43200 secondi o 12 ore). Per ulteriori informazioni, consulta Visualizza l'impostazione della durata massima della sessione per un ruolo nella Guida per l'utente IAM.

Esempio di impostazione di questa impostazione in un config file:


duration_seconds = 43200

external_id- impostazione di AWS config file condivisi

Specifica un identificatore univoco che viene utilizzato da terze parti per assumere un ruolo negli account dei relativi clienti.

Questa impostazione si applica solo quando il profilo specifica di assumere un ruolo e la politica di fiducia per il ruolo richiede un valore perExternalId. Il valore è mappato al ExternalId parametro che viene passato all'AssumeRoleoperazione quando il profilo specifica un ruolo.

Valore predefinito: Nessuno.

Valori validi: vedi Come utilizzare un ID esterno per concedere l'accesso alle tue AWS risorse a una terza parte nella Guida per l'utente IAM.

Esempio di impostazione in un config file:


external_id = unique_value_assigned_by_3rd_party

mfa_serial- impostazione di AWS config file condivisi

Speciifica l'identificazione o il numero di serie di un dispositivo di autenticazione a più fattori (MFA) che l'utente deve utilizzare quando assume un ruolo.

Richiesto quando si assume un ruolo in cui la politica di attendibilità per quel ruolo include una condizione che richiede l'autenticazione MFA.

Valore predefinito: Nessuno.

Valori validi: il valore può essere un numero di serie per un dispositivo hardware (ad esempioGAHT12345678) o un Amazon Resource Name (ARN) per un dispositivo MFA virtuale. Per ulteriori informazioni sull'MFA, consulta Configurazione dell'accesso all'API protetto da MFA nella Guida per l'utente IAM.

Esempio di impostazione in un file: config


mfa_serial = arn:aws:iam::123456789012:mfa/my-user-name

role_arn- impostazione di AWS config file condivisi

AWS_IAM_ROLE_ARN- variabile d'ambiente

aws.roleArn- Proprietà del sistema JVM: solo Java/Kotlin

Speciifica l'Amazon Resource Name (ARN) di un ruolo IAM che desideri utilizzare per eseguire le operazioni richieste utilizzando questo profilo.

Valore predefinito: Nessuno.

Valori validi: il valore deve essere l'ARN di un ruolo IAM, formattato come segue: arn:aws:iam::account-id:role/role-name

Inoltre, è necessario specificare anche una delle seguenti impostazioni:

source_profile— Per identificare un altro profilo da utilizzare per trovare le credenziali autorizzate ad assumere il ruolo in questo profilo.
credential_source— Utilizzare credenziali identificate dalle variabili di ambiente correnti o credenziali allegate a un profilo di istanza Amazon EC2 o a un'istanza di container Amazon ECS.
web_identity_token_file— Utilizzare provider di identità pubblici o qualsiasi provider di identità compatibile con OpenID Connect (OIDC) per gli utenti che sono stati autenticati in un'applicazione mobile o web.

role_session_name- impostazione di file condivisi AWS config

AWS_IAM_ROLE_SESSION_NAME- variabile d'ambiente

aws.roleSessionName- Proprietà del sistema JVM: solo Java/Kotlin

Specifica il nome da associare alla sessione del ruolo. Questo nome appare nei AWS CloudTrail registri delle voci associate a questa sessione, il che può essere utile durante il controllo.

Valore predefinito: un parametro opzionale. Se non fornisci questo valore, viene generato automaticamente un nome di sessione se il profilo assume un ruolo.

Valori validi: forniti al RoleSessionName parametro quando l' AWS API AWS CLI o l'API richiama l'AssumeRoleoperazione (o operazioni come l'AssumeRoleWithWebIdentityoperazione) per tuo conto. Il valore diventa parte dell'utente presunto Amazon Resource Name (ARN) che puoi interrogare e viene visualizzato come parte delle voci di CloudTrail registro per le operazioni richiamate da questo profilo.

arn:aws:sts::123456789012:assumed-role/my-role-name/my-role_session_name.

Esempio di impostazione di questo valore in un config file:


role_session_name = my-role-session-name

source_profile- impostazione di AWS config file condivisi

Specifica un altro profilo le cui credenziali vengono utilizzate per assumere il ruolo specificato dall'role_arnimpostazione nel profilo originale. Per informazioni su come vengono utilizzati i profili negli archivi condivisi AWS config e nei credentials file, consulta. Condivisi config e credentials file

Se si specifica un profilo che è anche un profilo di assunzione, ogni ruolo verrà assunto in ordine sequenziale per risolvere completamente le credenziali. Questa catena viene interrotta quando l'SDK incontra un profilo con credenziali. Il concatenamento dei ruoli limita la sessione di ruolo AWS CLI o dell' AWS API a un massimo di un'ora e non può essere aumentato. Per ulteriori informazioni, consulta i termini e i concetti relativi ai ruoli nella Guida per l'utente IAM.

Valore predefinito: Nessuno.

Valori validi: una stringa di testo costituita dal nome di un profilo definito nei credentials file config and. È inoltre necessario specificare un valore per role_arn nel profilo corrente.

Non è possibile specificare sia credential_source sia source_profile nello stesso profilo.

Esempio di impostazione in un file di configurazione:


[profile A]
source_profile = B
role_arn =  arn:aws:iam::123456789012:role/RoleA
                
[profile B]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token=IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

Nell'esempio precedente il profilo A utilizza le credenziali del profilo B. Quando specificate che l'SDK o lo strumento devono utilizzare il A profilo, l'SDK o lo strumento cerca automaticamente le credenziali per il B profilo collegato e le utilizza per richiedere credenziali temporanee per il ruolo IAM specificato. L'SDK o lo strumento utilizza l'operazione sts: in background per AssumeRole eseguire questa operazione. Queste credenziali temporanee vengono quindi utilizzate dal codice per accedere alle risorse. AWS Al ruolo specificato devono essere associate politiche di autorizzazione IAM che consentano l'esecuzione del codice richiesto, ad esempio il comando o il Servizio AWS metodo API.

web_identity_token_file- impostazione condivisa AWS config dei file

AWS_WEB_IDENTITY_TOKEN_FILE- variabile d'ambiente

aws.webIdentityTokenFile- Proprietà del sistema JVM: solo Java/Kotlin

Speciifica il percorso di un file che contiene un token di accesso da un provider OAuth 2.0 supportato o da un provider di identità OpenID Connect ID.

Questa impostazione consente l'autenticazione utilizzando provider di federazione delle identità Web, come Google, Facebook e Amazon, tra molti altri. L'SDK o lo strumento di sviluppo carica il contenuto di questo file e lo passa come WebIdentityToken argomento quando chiama l'AssumeRoleWithWebIdentityoperazione per conto dell'utente.

Valore predefinito: Nessuno.

Valori validi: questo valore deve essere un percorso e un nome di file. Il file deve contenere un token di accesso OAuth 2.0 o un token OpenID Connect fornito da un provider di identità. I percorsi relativi vengono trattati come relativi alla directory di lavoro del processo.

Compatibilità con gli AWS SDK

I seguenti SDK supportano le funzionalità e le impostazioni descritte in questo argomento. Vengono annotate eventuali eccezioni parziali. Tutte le impostazioni delle proprietà del sistema JVM sono supportate solo da AWS SDK for Java and the. SDK AWS for Kotlin

SDK	Supportato	Note o ulteriori informazioni
AWS CLI v2	Sì
SDK per C++	Parziale	`credential_source`non supportato. `duration_seconds`non supportato. `mfa_serial`non supportato.
SDK per Go V2 (1.x)	Sì
SDK per Go 1.x (V1)	Sì	Per utilizzare le impostazioni dei `config` file condivisi, devi attivare il caricamento dal file di configurazione; vedi Sessioni.
SDK per Java 2.x	Parziale	`mfa_serial`non supportato. Usa `AWS_ROLE_ARN` al posto di`AWS_IAM_ROLE_ARN`. Utilizzare `AWS_ROLE_SESSION_NAME` al posto di`AWS_IAM_ROLE_SESSION_NAME`.
SDK per Java 1.x	Parziale	`mfa_serial`non supportato. Le proprietà del sistema JVM non sono supportate.
SDK per 3.x JavaScript	Sì
SDK per 2.x JavaScript	Parziale	`credential_source`non supportato.
SDK per Kotlin	Sì	Usa invece di`AWS_ROLE_ARN`. `AWS_IAM_ROLE_ARN` Utilizzare `AWS_ROLE_SESSION_NAME` al posto di`AWS_IAM_ROLE_SESSION_NAME`.
SDK per.NET 3.x	Sì
SDK per PHP 3.x	Sì
SDK per Python (Boto3)	Sì
SDK per Ruby 3.x	Sì
SDK per Rust	Sì
Strumenti per PowerShell	Sì

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS chiavi di accesso

Fornitore di contenitori