Cambiar de usuario a rol de IAM (consola)
Solo puede cambiar de rol cuando inicia sesión como usuario de IAM, un usuario en el Centro de Identidades IAM, como rol federado de SAML o como un rol federado de identidad web. Un rol especifica un conjunto de permisos que puede utilizar para acceder a los recursos de AWS que necesita. Sin embargo, no inicia sesión en un rol, pero una vez que inicie sesión como un usuario de IAM podrá cambiar a un rol de IAM. Esto anula temporalmente los permisos de usuario originales y, en su lugar, le otorga los permisos asignados al rol. El rol puede estar en su propia cuenta o en cualquier otra Cuenta de AWS. Para obtener más información acerca de los roles, sus ventajas y cómo crearlos, consulte Roles de IAM y Creación de roles de IAM.
Los permisos de sus usuarios y de cualquier rol al que cambie no se acumulan. Solo hay un conjunto de permisos activo a la vez. Cuando se cambia a un rol, se abandonan temporalmente los permisos de usuario y se trabaja con los permisos que el rol tenga asignados. Al salir del rol, los permisos de usuario se restablecen de forma automática.
Al cambiar de rol en la AWS Management Console, la consola utiliza siempre sus credenciales originales para autorizar el cambio. Por ejemplo, si cambia a RolA, IAM utiliza sus credenciales originales para determinar si puede asumir el RolA. Si luego cambia a RolB, mientras utiliza el RolA, AWS seguirá utilizando sus credenciales originales, y no las credenciales del RolA, para autorizar el cambio.
nota
Usted asume un rol de IAM cuando inicia sesión como usuario en el IAM Identity Center, como rol federado de SAML o como rol federado de identidades web. Por ejemplo, cuando un usuario del IAM Identity Center inicia sesión en el portal de acceso de AWS, debe elegir un conjunto de permisos que se correlacionen con un rol antes de poder acceder a los recursos de AWS.
Sesiones de rol
Cuando cambia de rol, de forma predeterminada su sesión en la AWS Management Console dura 1 hora. Las sesiones de usuario de IAM duran 12 horas de forma predeterminada. Es posible que otros usuarios tengan definidas diferentes duraciones de sesión. Cuando cambia de rol en la consola, se le concede una duración máxima de sesión o el tiempo restante de su sesión de usuario (lo que sea menor). Asumir un rol no significa que se extenderá la duración de su sesión. Por ejemplo, suponga que se establece una duración máxima de sesión de 10 horas para un rol. Su sesión en la consola lleva 8 horas de duración cuando decide cambiar al rol. Quedan 4 horas de su sesión de usuario, por lo que la duración de la sesión permitida para su rol es de 4 horas y no la duración máxima de sesión de 10 horas. En la tabla siguiente se muestra cómo determinar la duración de la sesión para un usuario de IAM al cambiar roles en la consola.
El tiempo restante de sesión de usuario de IAM es... | La duración de la sesión de rol es… |
---|---|
Duración máxima de la sesión inferior al rol | Tiempo restante en la sesión del usuario |
Duración máxima de la sesión mayor al rol | Valor de la duración máxima de la sesión |
Igual a la duración máxima de la sesión del rol | Valor de la duración máxima de la sesión (aproximado) |
nota
Algunas de servicio AWS pueden reiniciar automáticamente su sesión de rol cuando caduque sin que realice ninguna acción. Algunos pueden pedirle que vuelva a cargar la página del navegador para volver a autenticar su sesión.
Consideraciones
-
Si inicia sesión como Usuario raíz de la cuenta de AWS, no puede cambiar de rol.
-
Los usuarios deben tener permisos concedidos para cambiar de rol, de acuerdo con la política. Para obtener instrucciones, consulte Conceder a un usuario permisos para cambiar de rol.
-
En la AWS Management Console, no puede cambiar a un rol que requiera un valor ExternalId. Solo puede cambiar a dicho rol si llama a la API
AssumeRole
que admite el parámetroExternalId
.
Para cambiar de rol
-
Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.
-
En la página principal de la consola, seleccione el servicio de IAM.
-
En la AWS Management Console, elija su nombre de usuario en la barra de navegación que aparece en la parte superior derecha. Normalmente tiene el siguiente aspecto:
nombre_usuario
@número_ID_cuenta_o_alias
. -
Elija Switch Role.
-
En la página Switch Role (Cambiar rol), escriba el número del ID de la cuenta o el alias de la cuenta y el nombre del rol que le proporcionó el administrador.
nota
Si su administrador creó el rol con una ruta como, por ejemplo,
division_abc/subdivision_efg/roleToDoX
, deberá escribir dicha ruta y el nombre completos en el recuadro Role (Rol). Si escribe solamente el nombre del rol, o si la longitud combinada dePath
yRoleName
sobrepasa los 64 caracteres, el cambio de rol producirá un error. Se trata de un límite de las cookies del navegador que almacenan el nombre del rol. Si esto ocurre, póngase en contacto con el administrador y pídale que reduzca el tamaño de la ruta y del nombre del rol. -
(Opcional) Puede introducir un nombre para mostrar y elegir un color de visualización que resalte el rol en la barra de navegación de la consola.
-
En Nombre para mostrar, escriba el texto que quiere que aparezca en la barra de navegación, en lugar de su nombre de usuario, cuando este rol esté activo. El sistema le sugiere un nombre en función de la información de la cuenta y del rol, pero puede cambiarlo si lo desea.
-
En Color de visualización, elija un color para resaltar el nombre para mostrar.
El nombre y el color pueden ayudarle a saber cuándo está activo el rol, lo que modificará sus permisos. Por ejemplo, en el caso de un rol que le ofrece acceso al entorno de prueba, puede especificar un Nombre que mostrar de
Test
y seleccionar el Color verde. En el caso de un rol que le ofrece acceso al entorno de producción, puede especificar un Nombre de visualización deProduction
y seleccionar el Color rojo. -
-
Elija Switch Role. El nombre y el color de visualización sustituyen su nombre de usuario en la barra de navegación y, a partir de ese momento, puede empezar a utilizar los permisos que le concede dicho rol.
-
Una vez que haya completado las tareas que requieren el rol de IAM, puede volver a su sesión original. De este modo, se eliminarán los permisos adicionales proporcionados por el rol y se devolverán los permisos estándar.
-
En la consola de IAM, elija el Nombre de visualización del rol en la parte superior derecha de la barra de navegación.
-
Elija Volver.
Por ejemplo, supongamos que ha iniciado sesión en el número de cuenta
123456789012
con el nombre de usuarioRichardRoe
. Después de utilizar el roladmin-role
, desea dejar de utilizarlo y volver a los permisos originales. Para dejar de utilizar el rol, elija admin-role @ 123456789012 y luego elija Volver.
-
sugerencia
Los últimos roles que utilizó aparecen en el menú . La próxima vez que necesite cambiar a uno de estos roles, solo debe elegir el rol que prefiera. Si el rol no se muestra en el menú, solo tiene que escribir la información de la cuenta y del rol manualmente.