Cambio a un rol (consola) - AWS Identity and Access Management

Cambio a un rol (consola)

Un rol especifica un conjunto de permisos que puede utilizar para acceder a los recursos de AWS que necesita. En este sentido, es similar a un usuario de AWS Identity and Access Management (IAM). Al iniciar sesión como usuario, obtendrá un conjunto específico de permisos. Sin embargo, no inicia sesión en un rol propiamente, si no que al iniciar sesión puede cambiar a un rol. Esto anula temporalmente los permisos de usuario originales y, en su lugar, le otorga los permisos asignados al rol. El rol puede estar en su propia cuenta o en cualquier otra cuenta de AWS. Para obtener más información acerca de los roles, sus ventajas y cómo crearlos, consulte Roles de IAM y Creación de roles de IAM.

importante

Los permisos de sus usuarios de IAM y de cualquier rol al que cambie no se acumulan. Solo hay un conjunto de permisos activo a la vez. Cuando se cambia a un rol, se abandonan temporalmente los permisos de usuario y se trabaja con los permisos que el rol tenga asignados. Al salir del rol, los permisos de usuario se restablecen de forma automática.

Al cambiar de rol en la Consola de administración de AWS, la consola utiliza siempre sus credenciales originales para autorizar el cambio. Esto se aplica tanto si inicia sesión como usuario de IAM, como rol federado SAML o como un rol federado de identidad web. Por ejemplo, si cambia a RoleA, IAM utiliza las credenciales originales del usuario o del rol federado para determinar si está autorizado para asumir RoleA. Si a continuación cambia a RoleB mientras utiliza RoleA, AWS seguirá utilizando las credenciales originales del usuario o del rol federado, no las credenciales de RoleA, para autorizar el cambio.

Información sobre el cambio de roles en la consola

En esta sección se proporciona información adicional acerca del uso de la IAM consola para cambiar a un rol.

nota

No puede cambiar de rol si inicia sesión como usuario Usuario de la cuenta raíz de AWS. Solo puede cambiar de rol si inicia sesión como usuario de IAM.

  • Si su administrador le proporciona un enlace, elíjalo y, a continuación, vaya al paso Paso 5 en el siguiente procedimiento. El enlace le lleva a la página web correspondiente y rellena el ID de la cuenta (o alias) y el nombre del rol por usted.

  • Puede crear manualmente el enlace e ir directamente al paso Paso 5 del procedimiento siguiente. Para crear el enlace, utilice el formato siguiente:

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    Sustituya el texto siguiente:

    • account_id_number:– identificador de cuenta de 12 dígitos que le ha proporcionado el administrador. Como alternativa, el administrador puede crear un alias de cuenta de forma que la URL ya incluya el nombre de la cuenta, en lugar de un ID de cuenta. Para obtener más información, consulte Su ID de cuenta y alias de AWS.

    • role_name: –nombre del rol que desea asumir. Puede obtenerlo observando el final del ARN del rol. Por ejemplo, el nombre de rol TestRole en el ARN de rol siguiente: namearn:aws:iam::403299380220:role/TestRole.

    • (Opcional) text_to_display–: texto que desea que aparezca en la barra de navegación en lugar de su nombre de usuario cuando este rol esté activo.

  • Puede cambiar de rol manualmente empleando la información que le proporciona el administrador mediante los siguientes procedimientos:

De forma predeterminada, cuando cambia de rol, su sesión de la Consola de administración de AWS dura 1 hora. Las sesiones de los usuarios de IAM son de 12 horas de forma predeterminada. A los usuarios de IAM que cambian de roles en la consola se les concede la duración máxima de sesión del rol o el tiempo restante de la sesión del usuario de IAM, lo que sea menor. Por ejemplo, suponga que se establece una duración máxima de sesión de 10 horas para un rol. Un IAM usuario ha iniciado sesión en la consola durante 8 horas cuando decide cambiar al rol. Quedan 4 horas en la sesión de IAM usuario, por lo que la duración de la sesión de rol permitida es de 4 horas. En la tabla siguiente se muestra cómo determinar la duración de la sesión de un IAM usuario al cambiar de roles en la consola.

duración de la sesión de rol de IAM consola de usuarios
el tiempo restante de la sesión de usuario de IAM es … La duración de la sesión de rol es …
Duración máxima de la sesión inferior a la función Tiempo restante en la IAM sesión de usuario
Mayor que la duración máxima de la sesión del rol Configuración de la duración máxima de la sesión
Igual a la duración máxima de la sesión del rol Valor máximo de la duración de la sesión (aproximado)
nota

Algunas AWS consolas de servicio pueden autorrenovar la sesión de rol cuando caduca sin que se realice ninguna acción. Algunos podrían solicitarle que vuelva a cargar la página del navegador para volver a autenticar la sesión.

Para solucionar problemas comunes que se pueden encontrar al asumir un rol, consulte No puedo asumir un rol.

Para cambiar de rol (consola)

  1. Inicie sesión en la Consola de administración de AWS como usuario de IAM y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En la consola de IAM, seleccione su nombre de usuario en la parte superior derecha de la barra de navegación. Normalmente tiene el siguiente aspecto: nombre_usuario@número_ID_cuenta_o_alias.

  3. Elija Switch Role. Si es la primera vez que elige esta opción, aparecerá una página con más información. Después de leerla, elija Switch Role (Cambiar rol). Si borra las cookies del navegador, esta página podría aparecer de nuevo.

  4. En la página Switch Role (Cambiar rol), escriba el número del ID de la cuenta o el alias de la cuenta y el nombre del rol que le proporcionó el administrador.

    nota

    Si su administrador creó el rol con una ruta como, por ejemplo, division_abc/subdivision_efg/roleToDoX, deberá escribir dicha ruta y el nombre completos en el recuadro Role (Rol). Si escribe solamente el nombre del rol, o si la longitud combinada de Path y RoleName sobrepasa los 64 caracteres, el cambio de rol producirá un error. Se trata de un límite de las cookies del navegador que almacenan el nombre del rol. Si esto ocurre, póngase en contacto con el administrador y pídale que reduzca el tamaño de la ruta y del nombre del rol.

  5. (Opcional) Elija un nombre para mostrar. (Opcional) Escriba el texto que desea que aparezca en la barra de navegación en lugar de su nombre de usuario cuando este rol esté activo. El sistema le sugiere un nombre en función de la información de la cuenta y del rol, pero puede cambiarlo si lo desea. También puede seleccionar un color para destacar el nombre de visualización. El nombre y el color pueden ayudarle a saber cuándo está activo el rol, lo que modificará sus permisos. Por ejemplo, en el caso de un rol que le ofrece acceso al entorno de prueba, puede especificar un Display Name (Nombre que mostrar) de Test y seleccionar el Color verde. En el caso de un rol que le ofrece acceso al entorno de producción, puede especificar un Display Name (Nombre que mostrar) de Production y seleccionar el Color rojo.

  6. Elija Switch Role. El nombre y el color de visualización sustituyen su nombre de usuario en la barra de navegación y, a partir de ese momento, puede empezar a utilizar los permisos que le concede dicho rol.

Sugerencia

Los últimos roles que utilizó aparecen en el menú . La próxima vez que necesite cambiar a uno de estos roles, bastará con elegir el rol que desea. Solo tiene que escribir la información de la cuenta y del rol manualmente si dicho rol no se muestra en el menú.

Para dejar de usar un rol (consola)

  1. En la consola de IAM, elija el Display Name (Nombre de visualización) del rol en la parte superior derecha de la barra de navegación. Normalmente tiene el siguiente aspecto: nombrerol@número_ID_cuenta_o_alias.

  2. Elija Back to nombredeusuario (Volver a [nombre de usuario]). El rol y sus permisos están desactivados y los permisos asociados con su usuario y grupos de IAM se restablecen de forma automática.

    Por ejemplo, supongamos que ha iniciado sesión en el número de cuenta 123456789012 con el nombre de usuario RichardRoe. Después de utilizar el rol AdminRole, desea dejar de utilizarlo y volver a los permisos originales. Para dejar de usar un rol, elija AdminRole@123456789012 (RolAdmin@&id_cuenta_ejemplo;) y, a continuación, elija Back to RichardRoe (Volver a RichardRoe).

    
            Richard Roe deja de utilizar el rol AdminRole