修改角色(控制台)
可以使用 Amazon Web Services Management Console 修改角色。要更改角色的标签集,请参阅管理 IAM 角色的标签(控制台)。
修改角色信任策略(控制台)
要更改可担任角色的人员,您必须修改角色的信任策略。您无法修改服务相关角色的信任策略。
注意
-
如果用户被列为角色的信任策略中的主体,但无法担任该角色,请检查用户的权限边界。如果为用户设置了权限边界,则它必须允许该
sts:AssumeRole操作。 -
要允许用户在角色会话中重新代入当前角色,请将角色 ARN 或 Amazon Web Services 账户 ARN 指定为角色信任策略中的主体。提供计算资源的 Amazon Web Services(例如 Amazon EC2、Amazon ECS、Amazon EKS 和 Lambda)会提供临时凭证并自动轮换这些凭证。这样可以确保您始终拥有一组有效的凭证。对于这些服务,无需重新代入当前角色即可获得临时凭证。但是,如果您需要传递 会话标签 或者 会话策略,则需要重新代入当前角色。
修改角色信任策略(控制台)
登录 Amazon Web Services Management Console,打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在 IAM 控制台的导航窗格中,选择角色。
-
在您的账户的角色列表中,选择要修改的角色的名称。
-
选择 Trust relationships(信任关系)选项卡,然后选择 Edit trust policy(编辑信任策略)。
-
根据需要编辑信任策略。要添加其他可担任角色的主体,请在
Principal元素中指定他们。例如,以下策略代码段演示如何在Principal元素中引用两个 Amazon Web Services 账户:"Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },如果您指定其他账户中的主体,将账户添加到角色的信任策略只是建立跨账户信任关系工作的一半而已。默认情况下,受信任账户中的任何用户均无法担任角色。新的受信任账户的管理员必须授予用户担任角色的权限。为此,管理员必须创建或编辑附加到用户以允许该用户访问
sts:AssumeRole操作的策略。有关更多信息,请参阅以下过程或向用户授予切换角色的权限。以下策略代码段演示如何在
Principal元素中引用两个 Amazon 服务:"Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] }, -
在编辑完信任策略后,请选择 Update policy(更新策略)以保存所做更改。
有关策略结构和语法的更多信息,请参阅IAM 中的策略和权限。和IAM JSON 策略元素参考。
允许可信外部账户中的用户使用角色(控制台)
有关此过程的更多详细信息,请参阅向用户授予切换角色的权限。
-
登录受信任外部 Amazon Web Services 账户。
-
确定将权限附加到用户还是附加到组。在 IAM 控制台的导航窗格中,相应选择 Users(用户)或 User Groups(用户组)。
-
选择您要向其授予访问权限的用户或组的名称,然后选择 Permissions 选项卡。
-
请执行下列操作之一:
-
要编辑某个客户 托管策略,请选择该策略的名称,选择编辑策略,然后选择 JSON 选项卡。您不能编辑 Amazon 托管策略。Amazon 托管策略随 Amazon 图标 (
) 一起显示。有关 Amazon 托管策略与客户托管策略之间的差别的更多信息,请参阅托管策略与内联策略。 -
要编辑某个内联策略,请选择该策略名称旁边的箭头,然后选择 Edit policy。
-
-
在策略编辑器中,添加一个新的
Statement元素,指定以下内容:{ "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME" }将语句中的 ARN 替换为用户可担任的角色的 ARN。
-
按照屏幕上的提示完成策略的编辑。
修改角色权限策略(控制台)
要更改该角色允许的权限,请修改该角色的权限策略。您无法修改 IAM 中的服务相关角色的权限策略。您可能能够修改依赖角色的服务中的权限策略。要检查服务是否支持此功能,请参阅使用 IAM 的Amazon服务并查找服务相关角色中列为是的服务。请选择 Yes 与查看该服务的服务相关角色文档的链接。
更改角色允许的权限 (控制台)
通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在 IAM 控制台的导航窗格中,选择 Roles。
-
选择要修改的角色的名称,然后选择权限选项卡。
-
请执行下列操作之一:
-
要编辑某个现有客户托管策略,请选择该策略的名称,然后选择 Edit policy。
注意
您无法编辑 Amazon 托管策略。Amazon 托管策略随 Amazon 图标 (
) 一起显示。有关 Amazon 托管策略与客户托管策略之间的差别的更多信息,请参阅托管策略与内联策略。 -
要将现有的托管策略附加到角色,请选择 Add permissions(添加权限),然后选择 Attach policies(附加策略)。
-
要编辑现有内联策略,请展开策略并选择 Edit(编辑)。
-
要嵌入新的内联策略,请选择 Add permissions(添加权限),然后选择 Create inline policy(创建内联策略)。
-
修改角色描述(控制台)
要更改角色的描述,请修改描述文本。
更改角色的描述 (控制台)
登录 Amazon Web Services Management Console,打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在 IAM 控制台的导航窗格中,选择角色。
-
以下代码示例显示如何将 IAM policy 附加到用户。
-
在 Summary(摘要)部分中,选择 Edit(编辑)。
-
在框中键入新描述,然后选择 Save changes (保存更改)。
修改角色最大会话持续时间(控制台)
要为使用控制台、Amazon CLI 或 Amazon API 代入的角色指定最大会话持续时间设置,请修改最大会话持续时间设置值。该设置可以具有 1 小时到 12 小时之间的值。如果未指定值,则应用默认最大值 (1 小时)。该设置不限制 Amazon 服务建立的会话。
更改使用控制台、Amazon CLI 或 Amazon API 担任的角色的最大会话持续时间设置(控制台)
登录 Amazon Web Services Management Console,打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在 IAM 控制台的导航窗格中,选择角色。
-
以下代码示例显示如何将 IAM policy 附加到用户。
-
在 Summary(摘要)部分中,选择 Edit(编辑)。
-
对于 Maximum session duration(最大会话持续时间),请选择一个值。您还可以选择 Custom duration(自定义持续时间)并输入一个值(以秒为单位)。
-
选择 Save changes(保存更改)。
在某个人下次担任该角色后,您所做的更改才会生效。要了解如何撤销该角色的现有会话,请参阅撤消 IAM 角色临时安全凭证。
在预设情况下,在 Amazon Web Services Management Console 中的 IAM 用户会话为 12 小时。在控制台内切换角色的 IAM 用户被授予角色最大会话持续时间或用户会话中的剩余时间(以较少者为准)。
从 Amazon CLI 或 Amazon API 代入角色的任何人都可以请求更长的会话,最多达到这个最大值。MaxSessionDuration 设置确定可请求的最大角色会话的持续时间。
-
要使用 Amazon CLI 指定会话持续时间,请使用
duration-seconds参数。要了解更多信息,请参阅 切换到 IAM 角色 (Amazon CLI)。 -
要使用 Amazon API 指定会话持续时间,请使用
DurationSeconds参数。要了解更多信息,请参阅 切换到 IAM 角色 (Amazon API)。
修改角色权限边界(控制台)
要更改对某角色允许的最大权限,请修改角色的权限边界。
更改用于设置角色的权限边界的策略
登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择角色。
-
选择具有您要更改的 权限边界 的角色名称。
-
选择 Permissions 选项卡。如有必要,打开权限边界部分,然后选择更改边界。
-
选择要用于权限边界的策略。
-
选择更改边界。
在某个人下次担任该角色后,您所做的更改才会生效。