Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de rôles IAM
Avant qu'un utilisateur, une application ou un service soit en mesure d'utiliser un rôle que vous avez créé, vous devez lui accorder les autorisations nécessaires pour changer de rôle. Vous pouvez utiliser n'importe quelle politique attachée aux groupes ou aux utilisateurs pour accorder les autorisations nécessaires. Cette section décrit l'octroi d'autorisations aux utilisateurs pour utiliser un rôle. Il explique également comment l'utilisateur peut passer à un rôle depuis les AWS Management Console Outils pour Windows PowerShell, le AWS Command Line Interface
(AWS CLI) et l'AssumeRoleAPI.
Important
Si vous créez un rôle par programmation plutôt que dans la console IAM, vous avez la possibilité d'ajouter un chemin Path de 512 caractères au maximum à l'élément RoleName qui lui, est de 64 caractères au maximum. Toutefois, si vous avez l'intention d'utiliser un rôle avec la fonctionnalité Switch Role dans le AWS Management Console, la combinaison Path RoleName ne peut pas dépasser 64 caractères.
Vous pouvez changer de rôle depuis le AWS Management Console. Vous pouvez assumer un rôle en appelant une opération d'API AWS CLI ou en utilisant une URL personnalisée. La méthode que vous utilisez détermine qui peut endosser le rôle et la durée de la session de rôle. Lorsque vous l'utilisez AssumeRole* les opérations d'API, le rôle IAM que vous endossez est la ressource. Le rôle ou l'utilisateur IAM qui appelle les opérations de l'API AssumeRole* est le principal.
Comparaison des méthodes pour l'utilisation de rôles | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Méthode permettant d'endosser le rôle | Qui peut endosser le rôle | Méthode permettant de spécifier la durée de vie des informations d'identification | Durée de vie des informations d'identification (min | max | par défaut) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Management Console | Utilisateur (en changeant de rôles) | Durée de session maximale sur la page récapitulative des rôles | 15 min | Durée de session maximale² | 1 h | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Opération d'interface de ligne de commande (CLI) assume-role ou d'API AssumeRole |
Utilisateur ou rôle¹ | Paramètre de CLI duration-seconds ou d'API DurationSeconds |
15 min | Durée de session maximale² | 1 h | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Opération d'interface de ligne de commande (CLI) assume-role-with-saml ou d'API AssumeRoleWithSAML |
Tout utilisateur authentifié utilisant SAML | Paramètre de CLI duration-seconds ou d'API DurationSeconds |
15 min | Durée de session maximale² | 1 h | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Opération d'interface de ligne de commande (CLI) assume-role-with-web-identity ou d'API AssumeRoleWithWebIdentity |
Tout utilisateur authentifié à l'aide d'un fournisseur OIDC | Paramètre de CLI duration-seconds ou d'API DurationSeconds |
15 min | Durée de session maximale² | 1 h | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
URL de console construite avec AssumeRole |
Utilisateur ou rôle | Paramètre HTML SessionDuration dans l'URL |
15 min | 12 h | 1 h | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
URL de console construite avec AssumeRoleWithSAML |
Tout utilisateur authentifié utilisant SAML | Paramètre HTML SessionDuration dans l'URL |
15 min | 12 h | 1 h | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
URL de console construite avec AssumeRoleWithWebIdentity |
Tout utilisateur authentifié à l'aide d'un fournisseur OIDC | Paramètre HTML SessionDuration dans l'URL |
15 min | 12 h | 1 h | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
¹ L'utilisation des informations d'identification pour qu'un rôle endosse un rôle différent est appelée création de chaînes de rôles. Lorsque vous utilisez la création de chaînes de rôles, vos nouvelles informations d'identification sont limitées à une durée maximale d'une heure. Lorsque vous utilisez des rôles pour accorder des autorisations aux applications qui s'exécutent sur des instances EC2, ces applications ne sont pas soumises à cette limitation.
² La valeur de ce paramètre peut varier de 1 heure à 12 heures. Pour en savoir plus sur la modification du paramètre de durée de session maximale, consultez Modification d'un rôle. Ce paramètre détermine la durée de session maximale que vous pouvez demander lorsque vous obtenez les informations d'identification du rôle. Par exemple, lorsque vous utilisez les opérations d'API AssumeRole* pour assumer un rôle, vous pouvez spécifier une durée de session à l'aide du DurationSeconds paramètre. Utilisez ce paramètre pour spécifier la durée de la session du rôle entre 900 secondes (15 minutes) et la durée de session maximale pour le rôle. Les utilisateurs IAM qui changent de rôle dans la console se voient accorder la durée de session maximale ou le temps restant dans la session de l'utilisateur, selon la durée la plus courte. Supposons que vous définissiez une durée maximale de 5 heures sur un rôle. Un utilisateur IAM qui s'est connecté à la console pendant 10 heures (sur 12, le maximum par défaut) décide d'endosser le rôle. La durée de la session de rôle disponible est de 2 heures. Pour savoir comment afficher la valeur maximale pour votre rôle, consultez Affichage du paramètre de durée de session maximale pour un rôle plus loin sur cette page.
Remarques
-
Le paramètre de durée maximale de session ne limite pas les sessions endossées par les services AWS .
-
Les informations d'identification du rôle Amazon EC2 IAM ne sont pas soumises aux durées de session maximales configurées dans le rôle.
-
Pour permettre aux utilisateurs d'assumer à nouveau le rôle actuel au cours d'une session de rôle, spécifiez l'ARN ou l' Compte AWS ARN comme principal dans la politique de confiance des rôles. Services AWS qui fournissent des ressources de calcul telles qu'Amazon EC2, Amazon ECS, Amazon EKS et Lambda fournissent des informations d'identification temporaires et mettent automatiquement à jour ces informations d'identification. Cela garantit que vous disposez toujours d'un ensemble d'informations d'identification valide. Pour ces services, il n'est pas nécessaire d'endosser à nouveau le rôle actuel pour obtenir des informations d'identification temporaires. Toutefois, si vous avez l'intention de transférer des balises de session ou une politique de session, vous devez endosser à nouveau le rôle actuel. Pour savoir comment modifier une politique d'approbation des rôles afin d'ajouter l'ARN ou Compte AWS l'ARN du rôle principal, consultezModification d'une politique d'approbation de rôle (console).
Rubriques
- Affichage du paramètre de durée de session maximale pour un rôle
- Octroi d'autorisations à un utilisateur pour endosser un rôle
- Octroi d'autorisations à un utilisateur pour transférer un rôle à un service AWS
- Changement de rôle (console)
- Assumer un rôle IAM (AWS CLI)
- Passer à un rôle IAM (Outils pour Windows PowerShell)
- Passage à un rôle IAM (AWS API)
- Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2
- Révocation des informations d'identification de sécurité temporaires d'un rôle IAM
Affichage du paramètre de durée de session maximale pour un rôle
Vous pouvez spécifier la durée maximale de session pour un rôle à l' AWS Management Console aide de l' AWS API AWS CLI or ou. Lorsque vous utilisez une opération AWS CLI ou une API pour assumer un rôle, vous pouvez spécifier une valeur pour le DurationSeconds paramètre. Vous pouvez utiliser ce paramètre pour spécifier la durée de session du rôle, entre 900 secondes (15 minutes) et la durée de session maximale définie pour le rôle. Avant de spécifier le paramètre, vous devez consulter ce paramètre pour votre rôle. Si vous spécifiez une valeur supérieure à la valeur maximale pour le paramètre DurationSeconds, l'opération échoue.
Pour afficher la durée de session maximale d'un rôle (console)
-
Dans le panneau de navigation de la console IAM, sélectionnez Roles (Rôles).
-
Choisissez le nom du rôle que vous souhaitez consulter.
-
À côté de Maximum session duration (Durée de session maximale), affichez la longueur de session maximale octroyée pour le rôle. Il s'agit de la durée maximale de session que vous pouvez spécifier dans votre AWS CLI opération ou dans celle de l'API.
Pour afficher le paramètre de durée de session maximale d'un rôle (AWS CLI)
-
Si vous ne connaissez pas le nom du rôle que vous souhaitez endosser, exécutez la commande suivante pour répertorier les rôles dans votre compte :
-
Pour afficher la durée de session maximale du rôle, exécutez la commande suivante. Consultez ensuite le paramètre de durée de session maximale.
Pour consulter le paramètre de durée maximale de session (AWS API) d'un rôle
-
Si vous ne connaissez pas le nom du rôle que vous souhaitez endosser, appelez l'opération suivante pour répertorier les rôles dans votre compte :
-
Pour afficher la durée de session maximale du rôle, appelez l'opération suivante. Consultez ensuite le paramètre de durée de session maximale.
