Changement de rôle (console) - AWS Identity and Access Management
Ce qu'il faut savoir sur le changement de rôles dans la console

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Changement de rôle (console)

Un rôle spécifie un ensemble d'autorisations que vous pouvez utiliser pour accéder aux ressources AWS dont vous avez besoin. À cet égard, il est semblable à un utilisateur IAMAWS Identity and Access Management. Lorsque vous vous connectez en tant qu'utilisateur, un ensemble spécifique d'autorisations vous est affecté. Toutefois, vous ne vous connectez pas au rôle mais, une fois connecté, vous pouvez endosser un rôle. Ceci annule temporairement vos autorisations utilisateur d'origine et les remplace par celles affectées au rôle. Le rôle peut être dans votre propre compte ou dans un autre Compte AWS. Pour plus d'informations sur les rôles, leurs avantages et la façon de les créer, consultez Rôles IAM et Création de rôles IAM.

Important

Les autorisations de votre utilisateur et des rôles que vous assumez ne peuvent pas être cumulées. Un seul ensemble d'autorisations peut être actif à la fois. Lorsque vous endossez un rôle, vous abandonnez temporairement vos autorisations utilisateur et travaillez avec celles qui sont affectées au rôle. Lorsque vous quittez le rôle, vos autorisations utilisateur sont automatiquement restaurées.

Lorsque vous changez de rôles dans AWS Management Console, la console continue d'utiliser les informations d'identification d'origine pour autoriser le changement. Ceci s'applique que vous vous connectiez en tant qu'utilisateur IAM, utilisateur de IAM Identity Center, rôle fédéré SAML ou rôle fédéré d'identité Web. Par exemple, si vous basculez sur RoleA, IAM utilise les informations d'identification d'utilisateur ou du rôle fédéré d'origine pour déterminer si vous êtes autorisé à endosser le rôle RoleA. Si vous basculez ensuite sur RoleB pendant que vous utilisez RoleA, AWS continue d'utiliser les informations d'identification d'utilisateur ou du rôle fédéré d'origine pour autoriser le basculement, et non celles de RoleA.

Ce qu'il faut savoir sur le changement de rôles dans la console

Cette section fournit des informations supplémentaires sur l'utilisation de la console IAM pour endosser un rôle.

Remarques :

  • Vous ne pouvez pas changer de rôle si vous vous connectez en tant qu'Utilisateur racine d'un compte AWS. Vous pouvez basculer d'un rôle à l'autre lorsque vous vous connectez en tant qu'utilisateur IAM, utilisateur de IAM Identity Center, rôle fédéré SAML ou rôle fédéré d'identité Web.

  • Vous ne pouvez pas changer AWS Management Console de rôle dans un rôle nécessitant une ExternalIdvaleur. Vous ne pouvez basculer vers un tel rôle qu'en appelant l'API AssumeRole qui prend en charge le paramètre ExternalId.

  • Si votre administrateur vous fournit un lien, cliquez dessus, puis passez à l'étape Étape 5 de la procédure suivante. Le lien vous dirige vers la page web appropriée et renseigne les informations relatives à l'ID de compte (ou d'alias) et au nom de rôle.

  • Vous pouvez créer manuellement le lien, puis passer à l'étape Étape 5 de la procédure suivante. Pour créer votre lien, utilisez le format suivant :

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    Où vous remplacez le texte suivant :

    • account_id_number : identifiant de compte à 12 chiffres fourni par votre administrateur. Votre administrateur peut également créer un alias de compte de manière à ce que l'URL contienne un nom au lieu d'un ID de compte. Pour plus d'informations, consultez Types d'utilisateurs dans le Guide de l'utilisateur Connexion à AWS.

    • role_name : nom du rôle que vous voulez endosser. Vous pouvez obtenir ce nom à partir de la fin de l'ARN du rôle. Par exemple, fournissez le nom de rôle TestRole à partir de l'ARN de rôle suivant : arn:aws:iam::123456789012:role/TestRole.

    • (Facultatif) text_to_display : texte que vous voulez afficher sur la barre de navigation à la place de votre nom d'utilisateur lorsque le rôle est actif.

  • Vous pouvez changer manuellement de rôle à l'aide des informations fournies par votre administrateur en procédant comme suit.

Par défaut, lorsque vous changez de rôle, votre session AWS Management Console dure 1 heure. Par défaut, la durée des sessions utilisateur IAM est de 12 heures. Les utilisateurs IAM qui changent de rôle dans la console se voient accorder la durée de session maximale du rôle ou le temps restant dans la session de l'utilisateur IAM, selon la durée la plus courte. Par exemple, supposons qu'une durée de session maximale de 10 heures soit définie pour un rôle. Un utilisateur IAM s'est connecté à la console pendant 8 heures lorsqu'il décide d'endosser le rôle. Il reste 4 heures dans la session utilisateur IAM, de sorte que la durée autorisée de la session du rôle est de 4 heures. Le tableau suivant montre comment déterminer la durée de session d'un utilisateur IAM lorsqu'il change de rôle dans la console.

Durée de session de rôle d'un utilisateur IAM dans la console
Le temps restant de la session de l'utilisateur IAM est... La durée de la session de rôle est…
Moins que la durée de session maximale d'un rôle Temps restant dans la session de l'utilisateur IAM
Plus que la durée de session maximale du rôle Valeur de durée de session maximale
Égale à la durée de session maximale du rôle Valeur de durée de session maximale (approximative)
Note

Certaines consoles de service AWS peuvent réinitialiser automatiquement votre session de rôle lorsqu'elle expire sans que vous ayez agi. Certaines peuvent vous inviter à recharger la page de votre navigateur pour réauthentifier votre session.

Pour résoudre les problèmes courants que vous pouvez rencontrer lorsque vous endossez un rôle, consultez Je ne parviens pas à endosser un rôle.

Pour passer à un rôle (console)

  1. Connectez-vous à la AWS Management Console en tant qu'utilisateur IAM et ouvrez la console IAM à partir de l'adresse https://console.aws.amazon.com/iam.

  2. Dans la console IAM, sélectionnez votre nom d'utilisateur dans la barre de navigation, en haut à droite. Elle devrait afficher les informations suivantes : nom_utilisateur@ID_de_compte_ou_alias.

  3. Choisissez Changer de rôle. Si vous choisissez cette option pour la première fois, une page contenant plus d'informations s'affiche. Après l'avoir lue, choisissez Switch Role (Changer de rôle). Si vous désactivez les cookies de votre navigateur, cette page peut s'afficher de nouveau.

  4. Dans la page Switch Role (Changer de rôle), entrez l'ID ou l'alias de compte, ainsi que le nom du rôle que vous a fourni l'administrateur.

    Note

    Si l'administrateur a créé le rôle avec un chemin d'accès tel que division_abc/subdivision_efg/roleToDoX, vous devez entrer le chemin d'accès complet et le nom dans le champ Rôle. Si vous entrez uniquement le nom du rôle, ou si l'ensemble de Path et RoleName dépasse 64 caractères, le changement de rôle échoue. Cette restriction est imposée par les cookies du navigateur dans lesquels est stocké le nom du rôle. Dans ce cas, contactez votre administrateur et demandez-lui de réduire la taille du chemin d'accès et le nom du rôle.

  5. (Facultatif) Choisissez un Nom d'affichage. Saisissez le texte que vous voulez afficher sur la barre de navigation à la place de votre nom utilisateur lorsque le rôle est actif. Un nom, basé sur les informations du compte et du rôle, est suggéré, mais vous pouvez le modifier à votre convenance. Il est également possible de sélectionner une couleur afin de mettre en évidence le nom d'affichage. Le nom et la couleur peuvent vous aider à savoir quand le rôle est actif, ce qui modifie vos autorisations. Par exemple, pour un rôle qui vous donne accès à l'environnement de test, vous pouvez spécifier un Display name (Nom d'affichage) de Test et sélectionner la couleur verte pour Color. Pour le rôle qui vous donne accès à la production, vous pouvez spécifier un Display name (Nom d'affichage) de Production et sélectionner la couleur rouge pour Color.

  6. Choisissez Changer de rôle. Le nom d'affichage et la couleur remplacent votre nom utilisateur sur la barre de navigation et vous pouvez commencer à utiliser les autorisations que le rôle vous accorde.

Conseil

Les derniers rôles utilisés sont répertoriés dans le menu . La prochaine fois que vous devez endosser l'un de ces rôles, choisissez simplement le rôle souhaité. Il vous suffit de saisir manuellement les informations sur le compte et le rôle si le rôle n'est pas affiché dans le menu.

Pour cesser d'utiliser un rôle (console)

  1. Dans la console IAM, choisissez le nom d'affichage du rôle sous Display Name (Nom d'affichage) en haut à droite de la barre de navigation. Il ressemble généralement à ceci : nom_rôle@ID_compte_ou_alias.

  2. Choisissez Back to nom_utilisateur (Revenir à nom_utilisateur). Le rôle et ses autorisations sont désactivés et les autorisations associées à votre utilisateur et vos groupes IAM sont automatiquement restaurées.

    Par exemple, supposons que vous êtes connecté au numéro de compte 123456789012 à l'aide du nom d'utilisateur RichardRoe. Une fois que vous avez utilisé le rôle AdminRole, vous souhaitez cesser d'utiliser ce rôle et revenir à vos autorisations initiales. Pour arrêter d'utiliser un rôle, choisissez AdminRole @ 123456789012, puis sélectionnez Retour à. RichardRoe

    Richard Roe arrête d'utiliser le AdminRole rôle