Wie verwende ich IAM, um auf Ressourcen in einem anderen AWS-Konto zuzugreifen?
Ich möchte den kontoübergreifenden Zugriff auf eine AWS Identity and Access Management (IAM, Identitäts- und Zugriffsmanagement)-Rolle in einem anderen AWS-Konto einrichten.
Kurzbeschreibung
Richte eine Vertrauensbeziehung mit einer IAM-Rolle ein, um auf Ressourcen in einem anderen AWS-Konto zuzugreifen.
Du möchtest beispielsweise vom Quellkonto aus auf das Zielkonto zugreifen. Gib deine IAM-Benutzerberechtigung für die AssumeRole-API ein, um die IAM-Rolle vom Quell- zum Zielkonto zu übernehmen. Du musst deinen IAM-Benutzer in der Vertrauensbeziehung der Ziel-IAM-Rolle angeben.
Hinweis: Du kannst auch eine Rolle von der Quell-IAM-Rolle zur Ziel-IAM-Rolle übernehmen, anstatt die Verkettung von Rollen von Benutzer zu Rolle zu verwenden. Die Verkettung von Rollen funktioniert nur für programmatischen Zugriff wie die AWS Command Line Interface (AWS CLI) oder die API. Der Rollenwechsel kann mit der AWS-Managementkonsole nicht verwendet werden.
Lösung
Gehe wie folgt vor, um mit IAM auf Ressourcen in einem anderen AWS-Konto zuzugreifen.
Hinweis: Wenn du beim Ausführen von AWS CLI-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.
Quellkonto
Führe die folgenden Schritte aus:
-
Verwende den JSON-Editor, um eine IAM-Richtlinie zu erstellen, die dem folgenden Beispiel ähnelt:
Hinweis: Ersetze DESTINATION-ACCOUNT-ID und DESTINATION-ROLENAME durch deine eigenen Werte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::DESTINATION-ACCOUNT-ID:role/DESTINATION-ROLENAME" ] } ] }
-
Hänge die IAM-Richtlinie an deine IAM-Benutzerberechtigungen an.
Zielkonto
Führe die folgenden Schritte aus:
-
Erstelle eine IAM-Rolle auf der Konsole.
-
Füge die benutzerdefinierte Vertrauensrichtlinie ein, die der folgenden ähnelt:
Hinweis: Ersetze SOURCE-ACCOUNT-ID und SOURCE-USERNAME durch deine eigenen Werte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::SOURCE-ACCOUNT-ID:user/SOURCE-USERNAME" }, "Action": "sts:AssumeRole" } ] }
Hinweis: Wenn du keinen Zugriff auf das Erstellen und Bearbeiten von IAM-Rollen und -Benutzern hast, wende dich an den Kontoinhaber, um den Vorgang abzuschließen. Es hat sich bewährt, den Zugriff auf das Konto und Ressourcen so einzuschränken, dass nur die Entitäten, denen du vertraust, darauf zugreifen können.
Du kannst diese Richtlinie so ändern, dass beliebig viele Quell-Entitäten für so viele Zielrollen wie nötig übernommen werden können. Du kannst beispielsweise den Wert Prinzipal der Vertrauensrichtlinie des Zielkontos in „AWS“: „SOURCE-ACCOUNT-ID“ ändern. Dadurch können alle Entitäten im Quellkonto mit den Berechtigungen „Rolle übernehmen“ die Rolle des Zielkontos übernehmen. Weitere Informationen findest du unter So gibst du einen Prinzipal an und Richtlinie erstellen oder bearbeiten.
Den Zugriff testen
Um den Zugriff zu testen, befolge die Anweisungen unter Von einem Benutzer zu einer IAM-Rolle wechseln (Konsole) oder Zu einer IAM-Rolle wechseln (AWS CLI). Weitere Informationen findest du im IAM-Tutorial: Delegieren des Zugriffs auf mehrere AWS-Konten mithilfe von IAM-Rollen.
Ähnliche Informationen
Ähnliche Videos
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 2 Jahren