Basculer vers un rôle (console) - AWS Identity and Access Management
Ce qu'il faut savoir sur le changement de rôles dans la console

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Basculer vers un rôle (console)

Un rôle spécifie un ensemble d'autorisations que vous pouvez utiliser pour accéder aux ressources AWS dont vous avez besoin. En ce sens, il est similaire à un utilisateur dans AWS Identity and Access Management (IAM). Lorsque vous vous connectez en tant qu'utilisateur, un ensemble spécifique d'autorisations vous est affecté. Toutefois, vous ne vous connectez pas au rôle mais, une fois connecté, vous pouvez endosser un rôle. Ceci annule temporairement vos autorisations utilisateur d'origine et les remplace par celles affectées au rôle. Le rôle peut être dans votre propre compte ou dans un autre Compte AWS. Pour plus d'informations sur les rôles, leurs avantages et la façon de les créer, consultez IAMrôles et IAMcréation de rôles.

Important

Les autorisations de votre utilisateur et des rôles que vous assumez ne peuvent pas être cumulées. Un seul ensemble d'autorisations peut être actif à la fois. Lorsque vous endossez un rôle, vous abandonnez temporairement vos autorisations utilisateur et travaillez avec celles qui sont affectées au rôle. Lorsque vous quittez le rôle, vos autorisations utilisateur sont automatiquement restaurées.

Lorsque vous changez de rôle dans le AWS Management Console, la console utilise toujours vos informations d'identification d'origine pour autoriser le changement. Cela s'applique que vous vous connectiez en tant qu'IAMutilisateur, utilisateur dans IAM Identity Center, en tant que rôle SAML fédéré ou en tant que rôle fédéré d'identité Web. Par exemple, si vous passez à ROLEA, IAM utilisez vos informations d'identification d'utilisateur d'origine ou de rôle fédéré pour déterminer si vous êtes autorisé à assumer le rôle ROLEA. Si vous passez ensuite à RoleB alors que vous utilisez RoleA, utilisez toujours vos informations d'identification d'utilisateur ou de rôle fédéré d'origine pour autoriser le changement AWS , et non les informations d'identification pour RoleA.

Ce qu'il faut savoir sur le changement de rôles dans la console

Cette section fournit des informations supplémentaires sur l'utilisation de la IAM console pour passer à un rôle.

Remarques :

  • Vous ne pouvez pas changer de rôle si vous vous connectez en tant que Utilisateur racine d'un compte AWS. Vous pouvez changer de rôle lorsque vous vous connectez en tant qu'IAMutilisateur, utilisateur dans IAM Identity Center, rôle SAML fédéré ou rôle fédéré d'identité Web.

  • Vous ne pouvez pas changer de rôle dans le rôle AWS Management Console pour un rôle qui nécessite une ExternalIdvaleur. Vous pouvez passer à un tel rôle uniquement en appelant le rôle AssumeRoleAPIqui prend en charge le ExternalId paramètre.

  • Si votre administrateur vous fournit un lien, cliquez dessus, puis passez à l'étape Étape 5 de la procédure suivante. Le lien vous dirige vers la page web appropriée et renseigne les informations relatives à l'ID de compte (ou d'alias) et au nom de rôle.

  • Vous pouvez créer manuellement le lien, puis passer à l'étape Étape 5 de la procédure suivante. Pour créer votre lien, utilisez le format suivant :

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    Où vous remplacez le texte suivant :

    • account_id_number — L'identifiant de compte à 12 chiffres qui vous a été fourni par votre administrateur. Votre administrateur peut également créer un alias de compte afin d'inclure le nom de votre URL compte au lieu d'un identifiant de compte. Pour plus d'informations, consultez Types d'utilisateurs dans le Guide de l'utilisateur Connexion à AWS .

    • role_name — Le nom du rôle que vous souhaitez assumer. Vous pouvez l'obtenir à la fin du rôleARN. Par exemple, indiquez le TestRole nom du rôle suivant ARN : arn:aws:iam::123456789012:role/TestRole

    • (Facultatif) text_to_display — Le texte que vous souhaitez voir apparaître dans la barre de navigation à la place de votre nom d'utilisateur lorsque ce rôle est actif.

  • Vous pouvez changer manuellement de rôle à l'aide des informations fournies par votre administrateur en procédant comme suit.

Par défaut, lorsque vous changez de rôle, votre AWS Management Console session dure 1 heure. IAMles sessions utilisateur durent 12 heures par défaut. IAMles utilisateurs qui changent de rôle dans la console se voient attribuer la durée maximale de session du rôle ou le temps restant dans la session de l'utilisateur, la durée la plus courte étant retenue. Par exemple, supposons qu'une durée de session maximale de 10 heures soit définie pour un rôle. Un IAM utilisateur est connecté à la console depuis 8 heures lorsqu'il décide de changer de rôle. Il reste 4 heures dans la session utilisateur IAM, de sorte que la durée autorisée de la session du rôle est de 4 heures. Le tableau suivant indique comment déterminer la durée de session d'un IAM utilisateur lorsqu'il change de rôle dans la console.

IAMle temps de session utilisateur restant est... La durée de la session de rôle est…
Moins que la durée de session maximale d'un rôle Temps restant dans la session de l'utilisateur IAM
Plus que la durée de session maximale du rôle Valeur de durée de session maximale
Égale à la durée de session maximale du rôle Valeur de durée de session maximale (approximative)
Note

Certaines consoles AWS de service peuvent renouveler automatiquement votre session de rôle lorsqu'elle expire sans que vous n'ayez à effectuer aucune action. Certaines peuvent vous inviter à recharger la page de votre navigateur pour réauthentifier votre session.

Pour résoudre les problèmes courants que vous pouvez rencontrer lorsque vous endossez un rôle, consultez Je ne parviens pas à endosser un rôle.

Pour passer à un rôle (console)

  1. Connectez-vous au en AWS Management Console tant qu'IAMutilisateur et ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans la IAM console, choisissez votre nom d'utilisateur dans la barre de navigation en haut à droite. Cela ressemble généralement à ceci : username@account_ID_number_or_alias.

  3. Choisissez Changer de rôle. Si vous choisissez cette option pour la première fois, une page contenant plus d'informations s'affiche. Après l'avoir lue, choisissez Switch Role (Changer de rôle). Si vous désactivez les cookies de votre navigateur, cette page peut s'afficher de nouveau.

  4. Dans la page Switch Role (Changer de rôle), entrez l'ID ou l'alias de compte, ainsi que le nom du rôle que vous a fourni l'administrateur.

    Note

    Si l'administrateur a créé le rôle avec un chemin d'accès tel que division_abc/subdivision_efg/roleToDoX, vous devez entrer le chemin d'accès complet et le nom dans le champ Rôle. Si vous entrez uniquement le nom du rôle, ou si l'ensemble de Path et RoleName dépasse 64 caractères, le changement de rôle échoue. Cette restriction est imposée par les cookies du navigateur dans lesquels est stocké le nom du rôle. Dans ce cas, contactez votre administrateur et demandez-lui de réduire la taille du chemin d'accès et le nom du rôle.

  5. (Facultatif) Choisissez un Nom d'affichage. Saisissez le texte que vous voulez afficher sur la barre de navigation à la place de votre nom utilisateur lorsque le rôle est actif. Un nom, basé sur les informations du compte et du rôle, est suggéré, mais vous pouvez le modifier à votre convenance. Il est également possible de sélectionner une couleur afin de mettre en évidence le nom d'affichage. Le nom et la couleur peuvent vous aider à savoir quand le rôle est actif, ce qui modifie vos autorisations. Par exemple, pour un rôle qui vous donne accès à l'environnement de test, vous pouvez spécifier un Display name (Nom d'affichage) de Test et sélectionner la couleur verte pour Color. Pour le rôle qui vous donne accès à la production, vous pouvez spécifier un Display name (Nom d'affichage) de Production et sélectionner la couleur rouge pour Color.

  6. Choisissez Changer de rôle. Le nom d'affichage et la couleur remplacent votre nom utilisateur sur la barre de navigation et vous pouvez commencer à utiliser les autorisations que le rôle vous accorde.

Conseil

Les derniers rôles utilisés sont répertoriés dans le menu . La prochaine fois que vous devez endosser l'un de ces rôles, choisissez simplement le rôle souhaité. Il vous suffit de saisir manuellement les informations sur le compte et le rôle si le rôle n'est pas affiché dans le menu.

Pour cesser d'utiliser un rôle (console)

  1. Dans la IAM console, choisissez le nom d'affichage de votre rôle dans la barre de navigation en haut à droite. Cela ressemble généralement à ceci : rolename@account_ID_number_or_alias.

  2. Choisissez Retourner à username. Le rôle et ses autorisations sont désactivés, et les autorisations associées à votre IAM utilisateur et à vos groupes sont automatiquement restaurées.

    Par exemple, supposons que vous êtes connecté au numéro de compte 123456789012 à l'aide du nom d'utilisateur RichardRoe. Une fois que vous avez utilisé le rôle AdminRole, vous souhaitez cesser d'utiliser ce rôle et revenir à vos autorisations initiales. Pour arrêter d'utiliser un rôle, choisissez AdminRole @ 123456789012, puis sélectionnez Retour à. RichardRoe

    Richard Roe arrête d'utiliser le AdminRole rôle