Wie verwende ich eine auf IAM-Identität basierende Richtlinie, um den Zugriff auf eine bestimmte IAM-Rollensitzung einzuschränken?

Lösung

Um eine IAM-Richtlinie zu erstellen, die den Zugriff auf eine bestimmte IAM-Rollensitzung ermöglicht, verwende den globalen AWS-Bedingungskontextschlüssel aws:userid.

**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, findest du weitere Informationen unter Beheben von AWS-CLI-Fehlern. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Der globale Bedingungsschlüssel aws:userid überprüft, ob die eindeutige ID des Prinzipals, der die Anfrage stellt, mit der in der IAM-Richtlinie angegebenen eindeutigen ID übereinstimmt. Um beispielsweise einer IAM-Rollensitzung zu ermöglichen, bestimmte Amazon Elastic Compute Cloud (Amazon EC2)-Aktionen in deinem AWS-Konto auszuführen, erstelle eine IAM-Richtlinie:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowASpecificRoleSession",
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances",
                "ec2:TerminateInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:userid": "AROA123456789EXAMPLE:&ExampleRoleSessionName"
                }
            }
        }
    ]
}

Hinweis: Ersetze aws:userid durch die eindeutige ID und den Sitzungsnamen deiner Rolle.

Die vorherige IAM-Richtlinie gewährt der Amazon EC2-Instance Zugriff auf die IAM-Rollensitzung im globalen Bedingungsschlüssel aws:userid. Andere Rollensitzungen können keine Amazon EC2-Aktionen ausführen.

Um die Rollen-ID für die IAM-Rolle abzurufen, führe den AWS-CLI-Befehl get-role aus:

aws iam get-role --role-name role_name

Hinweis: Ersetze role_name durch deinen Rollennamen.

Du erhältst eine Ausgabe wie die folgende:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AROA123456789EXAMPLE",
        "Arn": "arn:aws:iam::444455556666:role/Role",
        "CreateDate": "2023-08-04T12:37:14+00:00",
        "AssumeRolePolicyDocument": "URL-encoded-JSON",
        "Description": "Test Role",
        "MaxSessionDuration": 3600,
        "RoleLastUsed": {
            "Region": "us-east-1",
            "LastUsedDate": "2025-10-27T12:36:29+00:00"
        }
    }
}

Suche in der Ausgabe nach der RoleId-Zeichenfolge. Die Rollen-ID wird in der identitätsbasierten Richtlinie verwendet, um den Zugriff der Amazon EC2-Instance auf die IAM-Rollensitzung festzulegen.

Hinweis: Der globale Bedingungsschlüssel aws:userid kann in jeder Art von IAM-Richtlinie verwendet werden, z. B. in einer identitätsbasierten Richtlinie, einer ressourcenbasierten Richtlinie und einer Berechtigungsgrenzrichtlinie. Die Werte für den globalen Bedingungsschlüssel aws:userid hängen davon ab, welcher Prinzipaltyp die Anfrage initiiert. Informationen zum Ermitteln der Werte für verschiedene Typen von Prinzipalen findest du unter Prinzipalschlüsselwerte.

Ähnliche Informationen

Wie schränke ich den Zugriff von IAM-Identitäten auf bestimmte Amazon EC2-Ressourcen ein?

Wie kann ich IAM-Richtlinien-Tags verwenden, um einzuschränken, wie eine EC2-Instance oder ein EBS-Volume erstellt und darauf zugegriffen werden kann?