Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Passer d'un utilisateur à un IAM rôle (console)
Vous pouvez changer de rôle lorsque vous vous connectez en tant qu'IAMutilisateur, utilisateur dans IAM Identity Center, rôle SAML fédéré ou rôle fédéré d'identité Web. Un rôle définit un ensemble d'autorisations que vous pouvez utiliser pour accéder aux AWS ressources dont vous avez besoin. Cependant, vous ne vous connectez pas à un rôle, mais une fois connecté en tant qu'IAMutilisateur, vous pouvez passer à un IAM rôle. Ceci annule temporairement vos autorisations utilisateur d'origine et les remplace par celles affectées au rôle. Le rôle peut être dans votre propre compte ou dans un autre Compte AWS. Pour plus d'informations sur les rôles, leurs avantages et la façon de les créer, consultez IAMrôles et IAMcréation de rôles.
Les autorisations de votre utilisateur et les rôles auxquels vous passez ne sont pas cumulables. Un seul ensemble d'autorisations peut être actif à la fois. Lorsque vous endossez un rôle, vous abandonnez temporairement vos autorisations utilisateur et travaillez avec celles qui sont affectées au rôle. Lorsque vous quittez le rôle, vos autorisations utilisateur sont automatiquement restaurées.
Lorsque vous changez de rôle dans le AWS Management Console, la console utilise toujours vos informations d'identification d'origine pour autoriser le changement. Par exemple, si vous passez à ROLEA, IAM utilise vos informations d'identification d'origine pour déterminer si vous êtes autorisé à assumer le rôle ROLEA. Si vous passez ensuite à RoleB alors que vous utilisez RoleA, utilisez toujours vos informations d'identification d'origine pour autoriser le changement AWS , et non les informations d'identification pour RoleA.
Note
Lorsque vous vous connectez en tant qu'utilisateur dans IAM Identity Center, en tant que rôle SAML fédéré ou en tant que rôle fédéré d'identité Web, vous assumez un IAM rôle lorsque vous démarrez votre session. Par exemple, lorsqu'un utilisateur d'IAMIdentity Center se connecte au portail AWS d'accès, il doit choisir un ensemble d'autorisations correspondant à un rôle avant de pouvoir accéder aux AWS ressources.
Séances de rôle
Lorsque vous changez de rôle, votre AWS Management Console session dure 1 heure par défaut. IAMles sessions utilisateur durent 12 heures par défaut, les autres utilisateurs peuvent avoir des durées de session différentes définies. Lorsque vous changez de rôle dans la console, vous bénéficiez de la durée maximale de session du rôle ou du temps restant dans votre session utilisateur, selon la durée la plus courte. Vous ne pouvez pas prolonger la durée de votre session en assumant un rôle. Par exemple, supposons qu'une durée de session maximale de 10 heures soit définie pour un rôle. Vous êtes connecté à la console depuis 8 heures lorsque vous décidez de passer au rôle. Il reste 4 heures à votre session utilisateur. La durée de session de rôle autorisée est donc de 4 heures, et non la durée maximale de session de 10 heures. Le tableau suivant indique comment déterminer la durée de session d'un IAM utilisateur lorsqu'il change de rôle dans la console.
IAMle temps de session utilisateur restant est... | La durée de la session de rôle est… |
---|---|
Moins que la durée de session maximale d'un rôle | Temps restant dans la session de l'utilisateur IAM |
Plus que la durée de session maximale du rôle | Valeur de durée de session maximale |
Égale à la durée de session maximale du rôle | Valeur de durée de session maximale (approximative) |
Note
Certaines consoles AWS de service peuvent renouveler automatiquement votre session de rôle lorsqu'elle expire sans que vous n'ayez à effectuer aucune action. Certaines peuvent vous inviter à recharger la page de votre navigateur pour réauthentifier votre session.
Considérations
-
Vous ne pouvez pas changer de rôle si vous vous connectez en tant que Utilisateur racine d'un compte AWS.
-
Les utilisateurs doivent être autorisés à changer de rôle conformément à la politique. Pour obtenir des instructions, consultez Accorder à un utilisateur l'autorisation de changer de rôle.
-
Vous ne pouvez pas changer de AWS Management Console rôle dans un rôle qui nécessite une ExternalIdvaleur. Vous pouvez passer à un tel rôle uniquement en appelant le rôle
AssumeRole
APIqui prend en charge leExternalId
paramètre.
Pour passer à un rôle
-
Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .
-
Sur la page d'accueil de la console, sélectionnez le IAM service.
-
Dans le AWS Management Console, choisissez votre nom d'utilisateur dans la barre de navigation en haut à droite. Cela ressemble généralement à ceci :
username
@account_ID_number_or_alias
. -
Choisissez Changer de rôle.
-
Dans la page Switch Role (Changer de rôle), entrez l'ID ou l'alias de compte, ainsi que le nom du rôle que vous a fourni l'administrateur.
Note
Si l'administrateur a créé le rôle avec un chemin d'accès tel que
division_abc/subdivision_efg/roleToDoX
, vous devez entrer le chemin d'accès complet et le nom dans le champ Rôle. Si vous entrez uniquement le nom du rôle, ou si l'ensemble dePath
etRoleName
dépasse 64 caractères, le changement de rôle échoue. Cette restriction est imposée par les cookies du navigateur dans lesquels est stocké le nom du rôle. Dans ce cas, contactez votre administrateur et demandez-lui de réduire la taille du chemin d'accès et le nom du rôle. -
(Facultatif) Vous pouvez saisir un nom d'affichage et sélectionner une couleur d'affichage qui mettra en évidence le rôle dans la barre de navigation de la console.
-
Pour Nom d'affichage, saisissez le texte que vous souhaitez voir apparaître dans la barre de navigation à la place de votre nom d'utilisateur lorsque ce rôle est actif. Un nom, basé sur les informations du compte et du rôle, est suggéré, mais vous pouvez le modifier à votre convenance.
-
Pour Couleur d'affichage, sélectionnez une couleur pour mettre en évidence le nom d'affichage.
Le nom et la couleur peuvent vous aider à savoir quand le rôle est actif, ce qui modifie vos autorisations. Par exemple, pour un rôle qui vous donne accès à l'environnement de test, vous pouvez spécifier un Display name (Nom d'affichage) de
Test
et sélectionner la couleur verte pour Color. Pour le rôle qui vous donne accès à la production, vous pouvez spécifier un Display name (Nom d'affichage) deProduction
et sélectionner la couleur rouge pour Color. -
-
Choisissez Changer de rôle. Le nom d'affichage et la couleur remplacent votre nom utilisateur sur la barre de navigation et vous pouvez commencer à utiliser les autorisations que le rôle vous accorde.
-
Une fois que vous avez terminé les tâches qui nécessitent le IAM rôle, vous pouvez revenir à votre session d'origine. Cela supprimera les autorisations supplémentaires fournies par le rôle et vous ramènera à vos autorisations standard.
-
Dans la IAM console, choisissez le nom d'affichage de votre rôle dans la barre de navigation en haut à droite.
-
Choisissez Switch back.
Par exemple, supposons que vous êtes connecté au numéro de compte
123456789012
à l'aide du nom d'utilisateurRichardRoe
. Une fois que vous avez utilisé le rôleadmin-role
, vous souhaitez cesser d'utiliser ce rôle et revenir à vos autorisations initiales. Pour arrêter d'utiliser le rôle, sélectionnez admin-role @ 123456789012, puis choisissez Switch back.
-
Astuce
Les derniers rôles utilisés sont répertoriés dans le menu . La prochaine fois que vous souhaiterez passer à l'un de ces rôles, il vous suffira de choisir celui que vous souhaitez. Vous n'êtes tenu de saisir les informations du compte et du rôle manuellement que si le rôle n'apparaît pas dans le menu.