AWS Identity and Access Management
Guide de l'utilisateur

Changement de rôle (console)

Un rôle spécifie un ensemble d'autorisations que vous pouvez utiliser pour accéder aux ressources AWS dont vous avez besoin. À cet égard, il est semblable à un utilisateur dans AWS Identity and Access Management (IAM). Lorsque vous vous connectez en tant qu'utilisateur, un ensemble spécifique d'autorisations vous est affecté. Toutefois, vous ne vous connectez pas au rôle mais, une fois connecté, vous pouvez assumer un rôle. Ceci annule temporairement vos autorisations utilisateur d'origine et les remplace par celles affectées au rôle. Le rôle peut être dans votre propre compte ou dans un autre compte AWS. Pour plus d'informations sur les rôles, leurs avantages et la façon de les créer, consultez Rôles IAM et Création de rôles IAM.

Important

Les autorisations de votre utilisateur IAM et des rôles que vous assumez ne peuvent pas être cumulées. Un seul ensemble d'autorisations peut être actif à la fois. Lorsque vous assumez un rôle, vous abandonnez temporairement vos autorisations utilisateur et travaillez avec celles qui sont affectées au rôle. Lorsque vous quittez le rôle, vos autorisations utilisateur sont automatiquement restaurées.

Par défaut, votre session AWS Management Console dure une heure.

Lorsque vous changez de rôles dans AWS Management Console, la console continue d'utiliser les informations d'identification d'origine pour autoriser le changement. Cela s'applique que vous soyez connecté en tant qu'utilisateur IAM, en tant que rôle fédéré SAML ou en tant que rôle fédéré d'identité web. Par exemple, si vous basculez sur RoleA, IAM utilise les informations d'identification d'utilisateur ou du rôle fédéré d'origine pour déterminer si vous êtes autorisé à assumer le rôle RoleA. Si vous basculez ensuite sur RoleB pendant que vous utilisez RoleA, IAM continue d'utiliser les informations d'identification d'utilisateur ou du rôle fédéré d'origine pour autoriser le basculement, et non celles de RoleA.

Cette section décrit comment utiliser la console IAM pour assumer un rôle :

  • Pour assumer un rôle, vous devez être connecté en tant qu’utilisateur IAM. Vous ne pouvez pas changer de rôle si vous vous connectez en tant qu'Utilisateur racine d'un compte AWS.

  • Si votre administrateur vous fournit un lien, choisissez-le, puis passez à l'étape Étape 5 de la procédure suivante. Le lien vous dirige vers la page web appropriée et renseigne les informations relatives à l'ID de compte (ou d'alias) et au nom de rôle pour vous.

  • Vous pouvez créer manuellement le lien, puis passer à l'étape Étape 5 de la procédure suivante. Pour créer votre lien, utilisez le format suivant :

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    Où vous remplacez le texte suivant :

    • account_id_number – Identifiant de compte à 12 chiffres fourni par votre administrateur. Votre administrateur peut également créer un alias de compte de manière à ce que l'URL contienne un nom au lieu d'un ID de compte. Pour plus d'informations, consultez Votre ID de compte AWS et son alias.

    • role_name – Nom du rôle que vous voulez assumer. Vous pouvez obtenir ce nom à partir de la fin de l'ARN du rôle. Par exemple, fournissez le nom de rôle TestRole à partir de l'ARN de rôle suivant : namearn:aws:iam::403299380220:role/TestRole.

    • (Facultatif) text_to_display – Texte que vous voulez afficher sur la barre de navigation à la place de votre nom d'utilisateur lorsque le rôle est actif.

  • Vous pouvez changer manuellement de rôle à l'aide des informations fournies par votre administrateur en procédant comme suit :

Pour résoudre les problèmes courants que vous pouvez rencontrer lorsque vous assumez un rôle, consultez Je ne peux pas assumer un rôle.

Pour passer à un rôle (console)

  1. Connectez-vous à AWS Management Console en tant qu'utilisateur IAM et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans la console IAM, choisissez votre nom d'utilisateur dans la barre de navigation, en haut à droite. Elle devrait afficher les informations suivantes : nom_utilisateur@ID_de_compte_ou_alias.

  3. Choisissez Changer de rôle. Si vous choisissez cette option pour la première fois, une page contenant plus d'informations s'affiche. Après l'avoir lue, choisissez Switch Role (Changer de rôle). Si vous désactivez les cookies de votre navigateur, cette page peut s'afficher de nouveau.

  4. Dans la page Switch Role (Changer de rôle), entrez l'ID ou l'alias de compte, ainsi que le nom du rôle que vous a fourni l'administrateur.

    Note

    Si l'administrateur a créé le rôle avec un chemin d'accès tel que division_abc/subdivision_efg/roleToDoX, vous devez entrer le chemin d'accès complet et le nom dans le champ Rôle. Si vous entrez uniquement le nom du rôle, ou si l'ensemble de Path et RoleName dépasse 64 caractères, le changement de rôle échoue. Cette restriction est imposée par les cookies du navigateur dans lesquels est stocké le nom du rôle. Dans ce cas, contactez votre administrateur et demandez-lui de réduire la taille du chemin d'accès et le nom du rôle.

  5. (Facultatif) Entrez le texte que vous voulez afficher sur la barre de navigation à la place de votre nom utilisateur lorsque le rôle est actif. Un nom, basé sur les informations du compte et du rôle, est suggéré, mais vous pouvez le modifier à votre convenance. Il est également possible de sélectionner une couleur afin de mettre en évidence le nom d'affichage. Le nom et la couleur peuvent vous aider à savoir quand le rôle est actif, ce qui modifie vos autorisations. Par exemple, si un rôle vous permet d'accéder à l'environnement de test, vous pouvez utiliser Test comme Display Name (Nom d'affichage) et sélectionner le vert sous Color (Couleur). Pour un rôle qui vous donne accès à la production, vous pouvez spécifier Production comme Display Name (Nom d'affichage) et sélectionner le rouge sous Color (Couleur).

  6. Choisissez Changer de rôle. Le nom d'affichage et la couleur remplacent votre nom utilisateur sur la barre de navigation et vous pouvez commencer à utiliser les autorisations que le rôle vous accorde.

Conseil

Les derniers rôles utilisés sont répertoriés dans le menu . La prochaine fois que vous devez assumer l'un de ces rôles, choisissez simplement le rôle souhaité. Si le rôle n'est pas affiché dans le menu Identity, il vous suffit d'entrer manuellement les informations se rapportant au compte et au rôle.

Pour cesser d'utiliser un rôle (console)

  1. Dans la console IAM, choisissez le nom d'affichage de votre rôle sous Display Name (Nom d'affichage) en haut à droite de la barre de navigation. Il ressemble généralement à ceci : nom_rôle@ID_compte_ou_alias.

  2. Choisissez Back to nom_utilisateur (Revenir à nom_utilisateur). Le rôle et ses autorisations sont désactivés et les autorisations associées à votre utilisateur et vos groupes IAM sont automatiquement restaurées.

    Par exemple, supposons que vous êtes connecté au numéro de compte 123456789012 à l'aide du nom d'utilisateur RichardRoe. Une fois que vous avez utilisé le rôle AdminRole, vous souhaitez cesser d'utiliser ce rôle et revenir à vos autorisations initiales. Pour arrêter d'utiliser un rôle, choisissez AdminRole @ 123456789012, puis Back to RichardRoe (Revenir à RichardRoe).

    
          Richard Roe arrête d'utiliser le rôle AdminRole