Wie greife ich mit AWS IAM auf Ressourcen in einem anderen AWS-Konto zu?

Lesedauer: 3 Minute
0

Ich möchte eine Rolle in AWS Identity and Access Management (IAM) in einem anderen AWS-Konto übernehmen. Wie richte ich mit IAM einen kontenübergreifenden Zugriff ein?

Kurzbeschreibung

Sie können eine Vertrauensbeziehung mit einer IAM-Rolle in einem anderen AWS-Konto einrichten, um auf deren Ressourcen zuzugreifen. Sie möchten beispielsweise vom Quellkonto aus auf das Zielkonto zugreifen. Nehmen Sie dazu die IAM-Rolle vom Quell- zum Zielkonto an, indem Sie Ihre IAM-Benutzerberechtigung für die AssumeRole-API erteilen. Sie müssen Ihren IAM-Benutzer in der Vertrauensbeziehung der Ziel-IAM-Rolle angeben.

Hinweis: Sie können auch eine Rolle von der Quell-IAM-Rolle zur Ziel-IAM-Rolle übernehmen, anstatt die Rollenkette von Benutzer zu Rolle zu verwenden. Die Rollenkette funktioniert nur für programmatischen Zugriff wie die AWS-Befehlszeilenschnittstelle (AWS CLI) oder die API. Der Rollenwechsel kann mit der AWS-Managementkonsole nicht verwendet werden.

Behebung

Folgen Sie diesen Anweisungen, um eine IAM-Berechtigungsrichtlinie für das Quellkonto zu erstellen, die Richtlinie einem Benutzer zuzuordnen und dann eine Rolle für das Zielkonto zu erstellen.

Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.

Quellkonto

  1. Erstellen Sie eine IAM-Richtlinie, die der folgenden ähnelt:

**Hinweis:**Ersetzen Sie DESTINATION-ACCOUNT-ID und DESTINATION-ROLENAME durch Ihre eigenen Werte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": [
        "arn:aws:iam::DESTINATION-ACCOUNT-ID:role/DESTINATION-ROLENAME"
      ]
    }
  ]
}
  1. Hängen Sie die IAM-Richtlinie an Ihre IAM-Benutzerberechtigungen an.

Hängen Sie die erstellte Richtlinie an Ihre IAM-Benutzerberechtigungen an, indem Sie die folgenden Schritte ausführen.

Zielkonto

  1. Erstellen Sie eine IAM-Rolle.

  2. Fügen Sie die benutzerdefinierte Vertrauensrichtlinie ein, die der folgenden ähnelt:

**Hinweis:**Ersetzen Sie SOURCE-ACCOUNT-ID und SOURCE-USERNAME durch Ihre eigenen Werte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SOURCE-ACCOUNT-ID:user/SOURCE-USERNAME"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

**Hinweis:**Wenn Sie keinen Zugriff auf das Erstellen und Bearbeiten von IAM-Rollen und -Benutzern haben, wenden Sie sich an den Kontoinhaber, um den Vorgang abzuschließen. Es hat sich bewährt, nur den Entitäten Zugriff auf Ihr Konto und Ihre Ressourcen zu gewähren, denen Sie vertrauen.

Sie können diese Richtlinie so ändern, dass beliebig viele Quellentitäten für so viele Zielrollen wie nötig übernommen werden können. Sie können beispielsweise den Wert Principal der Vertrauensrichtlinie des Zielkontos in ** „AWS“ ändern: „QUELLKONTO-ID“**. Dadurch können alle Entitäten im Quellkonto mit den Berechtigungen „Rolle übernehmen“ die Rolle des Zielkontos übernehmen. Weitere Informationen finden Sie unter Principal angeben und Richtlinie erstellen oder bearbeiten.

Testen Sie Ihren Zugang

Um Ihren Zugriff zu testen, folgen Sie den Anweisungen unter Zu einer Rolle wechseln (Konsole).

-oder-

Folgen Sie den Anweisungen für den Wechsel zu einer IAM-Rolle (AWS CLI).

Weitere Informationen finden Sie im IAM-Tutorial: Delegieren Sie mithilfe von IAM-Rollen den Zugriff auf mehrere AWS-Konten.


Ähnliche Informationen

Wie übernehme ich mit der AWS-CLI eine IAM-Rolle?

Ich habe eine IAM-Richtlinie erstellt oder aktualisiert und die Fehlermeldung „Has prohibited field Principal“ erhalten. Wie kann ich das lösen?

Wie kann ich kontoübergreifenden Zugriff auf Objekte gewähren, die sich in Amazon S3-Buckets befinden?

Warum habe ich beim Versuch, eine kontoübergreifende IAM-Rolle anzunehmen, die Fehlermeldung „AccessDenied“ oder „Invalid information“ erhalten?