Cambio a un rol (Consola)
Un rol especifica un conjunto de permisos que puede utilizar para acceder a los recursos de AWS que necesita. En este sentido, es similar a un usuario de IAM en AWS Identity and Access Management. Al iniciar sesión como usuario, obtendrá un conjunto específico de permisos. Sin embargo, no inicia sesión en un rol propiamente, si no que al iniciar sesión puede cambiar a un rol. Esto anula temporalmente los permisos de usuario originales y, en su lugar, le otorga los permisos asignados al rol. El rol puede estar en su propia cuenta o en cualquier otra Cuenta de AWS. Para obtener más información acerca de los roles, sus ventajas y cómo crearlos, consulte Roles de IAM y Creación de roles de IAM.
importante
Los permisos de sus usuarios de y de cualquier rol al que cambie no se acumulan. Solo hay un conjunto de permisos activo a la vez. Cuando se cambia a un rol, se abandonan temporalmente los permisos de usuario y se trabaja con los permisos que el rol tenga asignados. Al salir del rol, los permisos de usuario se restablecen de forma automática.
Al cambiar de rol en la AWS Management Console, la consola utiliza siempre sus credenciales originales para autorizar el cambio. Esto se aplica tanto si inicia sesión como usuario de IAM, un usuario en el Centro de Identidades IAM, como rol federado SAML o como un rol federado de identidad web. Por ejemplo, si cambia a RoleA, IAM utiliza las credenciales originales del usuario o del rol federado para determinar si está autorizado para asumir RoleA. Si a continuación cambia a RoleB mientras utiliza RoleA, AWS seguirá utilizando las credenciales originales del usuario o del rol federado, no las credenciales de RoleA, para autorizar el cambio.
Cosas que debe saber acerca del cambio de roles en la consola
En esta sección se proporciona información adicional acerca del uso de la consola de IAM para cambiar a un rol.
Notas:
-
No puede cambiar de rol si inicia sesión como usuario Usuario raíz de la cuenta de AWS. Solo puede cambiar de rol cuando inicia sesión como usuario de IAM, un usuario en el Centro de Identidades IAM, como rol federado de SAML o como un rol federado de identidad web.
-
No puede cambiar roles en la AWS Management Console a un rol que requiera un valor ExternalId. Solo puede cambiar a dicho rol si llama a la API
AssumeRoleque admite el parámetroExternalId.
-
Si su administrador le proporciona un enlace, elíjalo y, a continuación, vaya al paso Paso 5 en el siguiente procedimiento. El enlace le lleva a la página web correspondiente y rellena el ID de la cuenta (o alias) y el nombre del rol.
-
Puede crear manualmente el enlace e ir directamente al paso Paso 5 del procedimiento siguiente. Para crear el enlace, utilice el formato siguiente:
https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_displaySustituya el texto siguiente:
-
account_id_number– Identificador de cuenta de 12 dígitos que le ha proporcionado el administrador. Como alternativa, el administrador puede crear un alias de cuenta de forma que la URL ya incluya el nombre de la cuenta, en lugar de un ID de cuenta. Para obtener más información, consulte Tipos de usuarios en la Guía del usuario de AWS Sign-In. -
role_name– Nombre del rol que desea asumir. Puede obtenerlo observando el final del ARN del rol. Por ejemplo, el nombre de rolTestRoleen el ARN de rol siguiente:arn:aws:iam::123456789012:role/TestRole. -
(Opcional)
text_to_display– Texto que desea que aparezca en la barra de navegación en lugar de su nombre de usuario cuando este rol esté activo.
-
-
Puede cambiar de rol manualmente empleando la información que le proporciona el administrador mediante los siguientes procedimientos:
De forma predeterminada, cuando alterna de roles, su sesión AWS Management Console dura 1 hora. Las sesiones de usuario de IAM son de 12 horas de forma predeterminada. A los usuarios de IAM que cambian de rol en la consola se les concede la duración máxima de la sesión del rol, o el tiempo restante de la sesión del usuario, lo que sea menor. Por ejemplo, suponga que se establece una duración máxima de sesión de 10 horas para un rol. Un usuario de IAM ha iniciado sesión en la consola durante 8 horas cuando decide cambiar al rol. Quedan 4 horas en la sesión de usuario, por lo que la duración de la sesión de rol permitida es de 4 horas. En la tabla siguiente se muestra cómo determinar la duración de la sesión para un usuario de IAM al cambiar roles en la consola.
Duración de la sesión del rol de consola de los usuarios de IAM | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| El tiempo restante de sesión de usuario de IAM es... | La duración de la sesión de rol es… | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Duración máxima de la sesión inferior al rol | Tiempo restante en la sesión del usuario | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Duración máxima de la sesión mayor al rol | Valor de la duración máxima de la sesión | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Igual a la duración máxima de la sesión del rol | Valor de la duración máxima de la sesión (aproximado) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
nota
Algunas de servicio AWS pueden reiniciar automáticamente su sesión de rol cuando caduque sin que realice ninguna acción. Algunos pueden pedirle que vuelva a cargar la página del navegador para volver a autenticar su sesión.
Para solucionar problemas comunes que se pueden encontrar al asumir un rol, consulte No puedo asumir un rol.
Para cambiar de rol (consola)
-
Inicie sesión en AWS Management Console como usuario de IAM y abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En la consola de IAM, seleccione su nombre de usuario en la parte superior derecha de la barra de navegación. Normalmente tiene el siguiente aspecto:
nombre_usuario@número_ID_cuenta_o_alias. -
Elija Switch Role. Si es la primera vez que elige esta opción, aparecerá una página con más información. Después de leerla, elija Switch Role (Cambiar rol). Si borra las cookies del navegador, esta página podría aparecer de nuevo.
-
En la página Switch Role (Cambiar rol), escriba el número del ID de la cuenta o el alias de la cuenta y el nombre del rol que le proporcionó el administrador.
nota
Si su administrador creó el rol con una ruta como, por ejemplo,
division_abc/subdivision_efg/roleToDoX, deberá escribir dicha ruta y el nombre completos en el recuadro Role (Rol). Si escribe solamente el nombre del rol, o si la longitud combinada dePathyRoleNamesobrepasa los 64 caracteres, el cambio de rol producirá un error. Se trata de un límite de las cookies del navegador que almacenan el nombre del rol. Si esto ocurre, póngase en contacto con el administrador y pídale que reduzca el tamaño de la ruta y del nombre del rol. -
(Opcional) Elija un Nombre para mostrar. Escriba el texto que desea que aparezca en la barra de navegación en lugar de su nombre de usuario cuando este rol esté activo. El sistema le sugiere un nombre en función de la información de la cuenta y del rol, pero puede cambiarlo si lo desea. También puede seleccionar un color para destacar el nombre de visualización. El nombre y el color pueden ayudarle a saber cuándo está activo el rol, lo que modificará sus permisos. Por ejemplo, en el caso de un rol que le ofrece acceso al entorno de prueba, puede especificar un Nombre que mostrar de
Testy seleccionar el Color verde. En el caso de un rol que le ofrece acceso al entorno de producción, puede especificar un Nombre de visualización deProductiony seleccionar el Color rojo. -
Elija Switch Role. El nombre y el color de visualización sustituyen su nombre de usuario en la barra de navegación y, a partir de ese momento, puede empezar a utilizar los permisos que le concede dicho rol.
Sugerencia
Los últimos roles que utilizó aparecen en el menú . La próxima vez que necesite cambiar a uno de estos roles, bastará con elegir el rol que desea. Solo tiene que escribir la información de la cuenta y del rol manualmente si dicho rol no se muestra en el menú.
Para dejar de utilizar un rol (consola)
-
En la consola de IAM, elija el Nombre de visualización del rol en la parte superior derecha de la barra de navegación. Normalmente tiene el siguiente aspecto:
nombrerol@número_ID_cuenta_o_alias. -
Elija Back to
nombredeusuario(Volver a [nombre de usuario]). El rol y sus permisos están desactivados y los permisos asociados con su usuario y grupos de IAM se restablecen de forma automática.Por ejemplo, supongamos que ha iniciado sesión en el número de cuenta
123456789012con el nombre de usuarioRichardRoe. Después de utilizar el rolAdminRole, desea dejar de utilizarlo y volver a los permisos originales. Para dejar de utilizar un rol, elija AdminRole @ 123456789012 y, a continuación, elija Volver a RichardRoe.
