Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Assumer un rôle IAM (AWS CLI)
Un rôle spécifie un ensemble d'autorisations que vous pouvez utiliser pour accéder aux ressources AWS dont vous avez besoin. À cet égard, il est semblable à un utilisateur IAM AWS Identity and Access Management. Lorsque vous vous connectez en tant qu'utilisateur, un ensemble spécifique d'autorisations vous est affecté. Toutefois, vous ne vous connectez pas au rôle mais, une fois connecté en tant qu'utilisateur, vous pouvez passer à un rôle. Ceci annule temporairement vos autorisations utilisateur d'origine et les remplace par celles affectées au rôle. Le rôle peut être dans votre propre compte ou dans un autre Compte AWS. Pour plus d'informations sur les rôles, leurs avantages et la façon de les créer et de les configurer, consultez Rôles IAM et Création de rôles IAM. Pour connaître les différentes méthodes que vous pouvez utiliser pour endosser un rôle, consultez Utilisation de rôles IAM.
Important
Les autorisations de votre utilisateur IAM et des rôles que vous endossez ne peuvent pas être cumulées. Un seul ensemble d'autorisations peut être actif à la fois. Lorsque vous endossez un rôle, vous abandonnez temporairement les autorisations utilisateur et de rôle précédentes et utilisez celles qui sont affectées au rôle. Lorsque vous quittez le rôle, vos autorisations utilisateur sont automatiquement restaurées.
Vous pouvez utiliser un rôle pour exécuter une AWS CLI commande lorsque vous êtes connecté en tant qu'utilisateur IAM. Vous pouvez également utiliser un rôle pour exécuter une AWS CLI commande lorsque vous êtes connecté en tant qu'utilisateur authentifié de manière externe (SAML ou OIDC) qui utilise déjà un rôle. De plus, vous pouvez utiliser un rôle pour exécuter une commande de la AWS CLI dans une instance Amazon EC2 attachée à un rôle via son profil d'instance. Il n'est pas possible d'assumer un rôle si vous êtes connecté en tant qu' Utilisateur racine d'un compte AWS.
Chaînage de rôles : vous pouvez aussi utiliser le chaînage de rôles, qui utilise les autorisations d'un rôle pour accéder à un second rôle.
Par défaut, votre session de rôle dure une heure. Lorsque vous endossez ce rôle à l'aide des opérations de la CLI assume-role*
, vous pouvez spécifier une valeur pour le paramètre duration-seconds
. Cette valeur peut être comprise entre 900 secondes (15 minutes) et la valeur de durée de session maximale définie pour le rôle. Si vous changez de rôle dans la console, la durée de votre session est limitée à une heure. Pour savoir comment afficher la valeur maximale pour votre rôle, veuillez consulter Affichage du paramètre de durée de session maximale pour un rôle.
Si vous utilisez la création de chaînes de rôles, la durée de votre session est limitée à une heure maximum. Si vous utilisez ensuite le paramètre duration-seconds
pour fournir une valeur supérieure à une heure, l'opération échoue.
Exemple de scénario : passer à un rôle de production
Imaginez que vous êtes un utilisateur IAM pour travailler dans l'environnement de développement. Dans ce scénario, vous devez parfois travailler avec l'environnement de production au niveau de la ligne de commande avec l'AWS CLI
Note
Pour des raisons de sécurité, les administrateurs peuvent consulter AWS CloudTrail les journaux pour savoir qui a effectué une action dans AWS. Votre administrateur peut exiger que vous spécifiiez une identité source ou un nom de session de rôle lorsque vous endossez le rôle. Pour plus d’informations, consultez sts:SourceIdentity et sts:RoleSessionName.
Pour passer à un rôle de production (AWS CLI)
-
Si vous n'avez jamais utilisé le AWS CLI, vous devez d'abord configurer votre profil CLI par défaut. Ouvrez une invite de commande et configurez votre AWS CLI installation pour utiliser la clé d'accès de votre utilisateur IAM ou de votre rôle fédéré. Pour plus d'informations, veuillez consulter configuration de l'outil AWS Command Line Interface dans le guide de l'utilisateur de l'outil AWS Command Line Interface .
Exécutez la commande aws configure comme suit :
aws configure
Lorsque vous y êtes invité, fournissez les informations suivantes :
AWS Access Key ID [None]:
AWS Secret Access Key [None]:AKIAIOSFODNN7EXAMPLE
Default region name [None]:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default output format [None]:us-east-2
json
-
Créez un profil pour le rôle dans le
.aws/config
fichier Unix ou Linux, ou le fichierC:\Users\USERNAME\.aws\config
dans Windows. L'exemple suivant crée un profil appeléprodaccess
qui passe au rôle
dans le compteProductionAccessRole
123456789012
. Vous obtenez l'ARN du rôle auprès de l'administrateur du compte ayant créé le rôle. Lorsque ce profil est invoqué, il AWS CLI utilise les informations d'identification dusource_profile
pour demander les informations d'identification du rôle. De ce fait, l'identité référencée en tant quesource_profile
doit disposer des autorisationssts:AssumeRole
pour le rôle spécifié dans lerole_arn
.[profile prodaccess] role_arn = arn:aws:iam::
123456789012
:role/ProductionAccessRole source_profile = default -
Après avoir créé le nouveau profil, toute AWS CLI commande spécifiant le paramètre est
--profile prodaccess
exécutée sous les autorisations associées au rôle IAMProductionAccessRole
plutôt que sous celles de l'utilisateur par défaut.aws iam list-users --profile prodaccess
Cette commande fonctionne si les autorisations affectées au rôle
ProductionAccessRole
permettent de répertorier les utilisateurs dans le compte AWS actuel. -
Pour revenir aux autorisations accordées par vos informations d'identification d'origine, exécutez les commandes sans le paramètre
--profile
. Vous AWS CLI recommencez à utiliser les informations d'identification de votre profil par défaut, que vous avez configuré dansÉtape 1.
Pour plus d'informations, consultez Endossement d'un rôle dans le Guide de l'utilisateur AWS Command Line Interface .
Exemple de scénario : permettre à un rôle de profil d'instance de passer à un rôle dans un autre compte
Imaginez que vous en utilisiez deux Comptes AWS et que vous souhaitiez autoriser une application exécutée sur une instance Amazon EC2 à exécuter des AWS CLI111111111111
. Cette instance inclut le rôle de profil d'instance abcd
qui permet à l'appli d'effectuer les tâches Amazon S3 my-bucket-1
en lecture seule sur le compartiment dans le même compte 111111111111
. Toutefois, l'application doit également être autorisée à endosser le rôle efgh
entre comptes pour effectuer des tâches dans le compte 222222222222
. Pour ce faire, le rôle de profil d'instance EC2 abcd
doit disposer des autorisations suivantes :
Politique d'autorisations de rôle abcd
du compte 111111111111
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccountLevelS3Actions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetAccountPublicAccessBlock", "s3:ListAccessPoints", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "AllowListAndReadS3ActionOnMyBucket", "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::my-bucket-1/*", "arn:aws:s3:::my-bucket-1" ] }, { "Sid": "AllowIPToAssumeCrossAccountRole", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::222222222222:role/efgh" } ] }
Supposons que le rôle efgh
entre comptes permet aux tâches Amazon S3 en lecture seule sur le compartiment my-bucket-2
dans le même compte 222222222222
. Pour ce faire, le rôle efgh
entre comptes doit avoir la politique d'autorisations suivante :
Politique d'autorisations de rôle efgh
du compte 222222222222
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccountLevelS3Actions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetAccountPublicAccessBlock", "s3:ListAccessPoints", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "AllowListAndReadS3ActionOnMyBucket", "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::my-bucket-2/*", "arn:aws:s3:::my-bucket-2" ] } ] }
Le rôle efgh
doit autoriser le rôle de profil d'instance abcd
à l'endosser. Pour ce faire, le rôle efgh
doit avoir la politique de confiance suivante :
Politique de confiance de rôle efgh
du compte 222222222222
{ "Version": "2012-10-17", "Statement": [ { "Sid": "efghTrustPolicy", "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": {"AWS": "arn:aws:iam::111111111111:role/abcd"} } ] }
Pour exécuter ensuite AWS CLI les commandes dans le compte222222222222
, vous devez mettre à jour le fichier de configuration de la CLI. Identifiez le rôle efgh
en tant que « profil » et le rôle de profil d'instance EC2 abcd
en tant que « source » d'informations d'identification dans le fichier de configuration d' AWS CLI
. Ensuite, vos commandes de CLI sont exécutées avec les autorisations du rôle efgh
, pas du rôle abcd
d'origine.
Note
Pour des raisons de sécurité, vous pouvez l'utiliser AWS CloudTrail pour vérifier l'utilisation des rôles dans le compte. Pour différencier les sessions de rôle lorsqu'un rôle est utilisé par différents principaux dans les CloudTrail journaux, vous pouvez utiliser le nom de session du rôle. Lorsque le AWS CLI assume un rôle au nom d'un utilisateur tel que décrit dans cette rubrique, un nom de session de rôle est automatiquement créé sous le nom deAWS-CLI-session-
. Ici, nnnnnnnn
nnnnnnnn
est un nombre entier qui représente le temps en Heure Unix
Pour autoriser un rôle de profil d'instance EC2 afin de passer à un rôle entre comptes (AWS CLI)
-
Vous n'avez pas besoin de configurer un profil par défaut pour la CLI. Au lieu de cela, vous pouvez charger les informations d'identification à partir des métadonnées du profil d'instance EC2. Créez un profil pour le rôle dans le fichier
.aws/config
. L'exemple suivant crée un profilinstancecrossaccount
qui passe au rôle
dans le compteefgh
222222222222
. Lorsque ce profil est appelé, l’interface AWS CLI utilise les informations d'identification des métadonnées du profil d'instance EC2 pour demander les informations d'identification du rôle. De ce fait, le rôle de profil d'instance EC2 doit disposer des autorisationssts:AssumeRole
pour le rôle spécifié dans lerole_arn
.[profile instancecrossaccount] role_arn = arn:aws:iam::
222222222222
:role/efgh credential_source = Ec2InstanceMetadata -
Après avoir créé le nouveau profil, toute AWS CLI commande spécifiant le paramètre
--profile instancecrossaccount
s'exécute sous les autorisations associées auefgh
rôle dans le compte222222222222
.aws s3 ls my-bucket-2 --profile instancecrossaccount
Cette commande fonctionne si les autorisations affectées au rôle
efgh
autorisent à répertorier les utilisateurs dans l' Compte AWS actuel. -
Pour revenir au profil d'instance EC2 d'origine les autorisations de compte
111111111111
, exécutez les commandes de CLI sans le paramètre--profile
.
Pour plus d'informations, consultez Endossement d'un rôle dans le Guide de l'utilisateur AWS Command Line Interface .