Méthodes pour assumer un rôle - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Méthodes pour assumer un rôle

Avant qu'un utilisateur, une application ou un service puisse utiliser un rôle que vous avez créé, vous devez accorder des autorisations pour passer à ce rôle. Vous pouvez utiliser n'importe quelle politique attachée aux groupes ou aux utilisateurs pour accorder les autorisations nécessaires. Une fois les autorisations accordées, l'utilisateur peut assumer un rôle dans les outils pour Windows PowerShell, le AWS Command Line Interface (AWS CLI) et le AssumeRoleAPI. AWS Management Console

Important

Lorsque vous créez un rôle par programmation plutôt que dans la IAM console, vous avez la possibilité d'ajouter un maximum Path de 512 caractères en plus duRoleName, qui peut comporter jusqu'à 64 caractères. Toutefois, si vous avez l'intention d'utiliser un rôle avec la fonctionnalité Switch Role dans le AWS Management Console, la combinaison Path RoleName ne peut pas dépasser 64 caractères.

La méthode utilisée pour assumer le rôle détermine qui peut assumer le rôle et la durée de la session de rôle. Lorsque vous utilisez AssumeRole* API des opérations, le IAM rôle que vous assumez est la ressource. L'utilisateur ou le rôle qui appelle AssumeRole* API les opérations est le principal.

Le tableau suivant compare les méthodes utilisées pour assumer des rôles.

Méthode permettant d'endosser le rôle Qui peut endosser le rôle Méthode permettant de spécifier la durée de vie des informations d'identification Durée de vie des informations d'identification (min | max | par défaut)
AWS Management Console Utilisateur (en changeant de rôles) Durée de session maximale sur la page récapitulative des rôles 15 min | Durée de session maximale² | 1 h
assume-roleCLIou AssumeRoleAPIopération Utilisateur ou rôle¹ duration-secondsCLIou DurationSeconds API paramètre 15 min | Durée de session maximale² | 1 h
assume-role-with-samlCLIou AssumeRoleWithSAMLAPIopération Tout utilisateur authentifié à l'aide de SAML duration-secondsCLIou DurationSeconds API paramètre 15 min | Durée de session maximale² | 1 h
assume-role-with-web-identityCLIou AssumeRoleWithWebIdentityAPIopération Tout utilisateur authentifié à l'aide d'un fournisseur OIDC duration-secondsCLIou DurationSeconds API paramètre 15 min | Durée de session maximale² | 1 h
Console URL construite avec AssumeRole Utilisateur ou rôle SessionDurationHTMLparamètre dans le URL 15 min | 12 h | 1 h
Console URL construite avec AssumeRoleWithSAML Tout utilisateur authentifié à l'aide de SAML SessionDurationHTMLparamètre dans le URL 15 min | 12 h | 1 h
Console URL construite avec AssumeRoleWithWebIdentity Tout utilisateur authentifié à l'aide d'un fournisseur OIDC SessionDurationHTMLparamètre dans le URL 15 min | 12 h | 1 h

¹ L'utilisation des informations d'identification pour qu'un rôle endosse un rôle différent est appelée création de chaînes de rôles. Lorsque vous utilisez la création de chaînes de rôles, vos nouvelles informations d'identification sont limitées à une durée maximale d'une heure. Lorsque vous utilisez des rôles pour accorder des autorisations à des applications qui s'exécutent sur EC2 des instances, ces applications ne sont pas soumises à cette limitation.

² La valeur de ce paramètre peut varier de 1 heure à 12 heures. Pour en savoir plus sur la modification du paramètre de durée de session maximale, consultez IAMgestion des rôles. Ce paramètre détermine la durée de session maximale que vous pouvez demander lorsque vous obtenez les informations d'identification du rôle. Par exemple, lorsque vous utilisez les AssumeRoleAPIopérations* pour assumer un rôle, vous pouvez spécifier une durée de session à l'aide du DurationSeconds paramètre. Utilisez ce paramètre pour spécifier la durée de la session du rôle entre 900 secondes (15 minutes) et la durée de session maximale pour le rôle. IAMles utilisateurs qui changent de rôle dans la console se voient accorder la durée maximale de session ou le temps restant de leur session utilisateur, la durée la plus courte étant retenue. Supposons que vous définissiez une durée maximale de 5 heures sur un rôle. Un IAM utilisateur connecté à la console depuis 10 heures (sur un maximum de 12 par défaut) passe au rôle. La durée de la session de rôle disponible est de 2 heures. Pour savoir comment afficher la valeur maximale pour votre rôle, consultez Mettre à jour la durée maximale de session pour un rôle plus loin sur cette page.

Remarques

  • Le paramètre de durée maximale de session ne limite pas les sessions endossées par les services AWS .

  • Les informations d'identification du EC2 IAM rôle Amazon ne sont pas soumises à la durée maximale de session configurée dans le rôle.

  • Pour permettre aux utilisateurs d'assumer à nouveau le rôle actuel au cours d'une session de rôle, spécifiez le rôle ARN ou en Compte AWS ARN tant que principal dans la politique de confiance des rôles. Services AWS qui fournissent des ressources de calcul telles qu'AmazonEC2, Amazon ECSEKS, Amazon et Lambda fournissent des informations d'identification temporaires et mettent automatiquement à jour ces informations d'identification. Cela garantit que vous disposez toujours d'un ensemble d'informations d'identification valide. Pour ces services, il n'est pas nécessaire d'endosser à nouveau le rôle actuel pour obtenir des informations d'identification temporaires. Toutefois, si vous avez l'intention de transférer des balises de session ou une politique de session, vous devez endosser à nouveau le rôle actuel. Pour savoir comment modifier une politique d'approbation des rôles afin d'ajouter le rôle ARN principal Compte AWS ARN, voirMettre à jour une politique de confiance dans les rôles .

Rubriques