Metode untuk mengambil peran

Sebelum pengguna, aplikasi, atau layanan dapat menggunakan peran yang Anda buat, Anda harus memberikan izin untuk beralih ke peran tersebut. Anda dapat menggunakan kebijakan apa pun yang dilampirkan ke grup atau pengguna untuk memberikan izin yang diperlukan. Setelah izin diberikan, pengguna dapat mengambil peran dari AWS Management Console, Alat untuk Windows PowerShell, AWS Command Line Interface (AWS CLI) dan. AssumeRoleAPI

penting

Saat Anda membuat peran secara terprogram alih-alih di IAM konsol, Anda memiliki opsi untuk menambahkan hingga 512 karakter selainRoleName, yang panjangnya bisa mencapai 64 karakter. Path Namun, jika Anda bermaksud menggunakan peran dengan fitur Switch Role di AWS Management Console, maka gabungan Path dan RoleName tidak dapat melebihi 64 karakter.

Metode yang digunakan untuk mengambil peran menentukan siapa yang dapat mengambil peran dan berapa lama sesi peran dapat berlangsung. Saat menggunakan AssumeRole* API operasi, IAM peran yang Anda asumsikan adalah sumber daya. Pengguna atau peran yang memanggil AssumeRole* API operasi adalah prinsipal.

Tabel berikut membandingkan metode untuk mengasumsikan peran.

Metode untuk mengasumsikan peran	Siapa yang bisa mengambil peran	Metode untuk menentukan masa pakai kredensi	Masa pakai kredensi (min \| maks \| default)
AWS Management Console	Pengguna (dengan beralih peran)	Durasi sesi maksimum pada Halaman ringkasan Peran	15 menit \| Pengaturan durasi sesi maksimum² \| 1 jam
`assume-role`CLIatau `AssumeRole`APIoperasi	Pengguna atau peran¹	`duration-seconds`CLIatau `DurationSeconds` API parameter	15 menit \| Pengaturan durasi sesi maksimum² \| 1 jam
`assume-role-with-saml`CLIatau `AssumeRoleWithSAML`APIoperasi	Setiap pengguna yang diautentikasi menggunakan SAML	`duration-seconds`CLIatau `DurationSeconds` API parameter	15 menit \| Pengaturan durasi sesi maksimum² \| 1 jam
`assume-role-with-web-identity`CLIatau `AssumeRoleWithWebIdentity`APIoperasi	Setiap pengguna yang diautentikasi menggunakan penyedia OIDC	`duration-seconds`CLIatau `DurationSeconds` API parameter	15 menit \| Pengaturan durasi sesi maksimum² \| 1 jam
Konsol URL dibangun dengan `AssumeRole`	Pengguna atau peran	`SessionDuration`HTMLparameter di URL	15 menit \| 12 jam \| 1 jam
Konsol URL dibangun dengan `AssumeRoleWithSAML`	Setiap pengguna yang diautentikasi menggunakan SAML	`SessionDuration`HTMLparameter di URL	15 menit \| 12 jam \| 1 jam
Konsol URL dibangun dengan `AssumeRoleWithWebIdentity`	Setiap pengguna yang diautentikasi menggunakan penyedia OIDC	`SessionDuration`HTMLparameter di URL	15 menit \| 12 jam \| 1 jam

¹ Menggunakan kredensial untuk satu peran untuk mengasumsikan peran berbeda disebut rantai peran. Saat Anda menggunakan rantai peran, kredensial baru Anda dibatasi hingga durasi maksimum satu jam. Bila Anda menggunakan peran untuk memberikan izin ke aplikasi yang berjalan pada EC2 instance, aplikasi tersebut tidak tunduk pada batasan ini.

² Pengaturan ini dapat memiliki nilai dari 1 jam hingga 12 jam. Untuk detail tentang pengubahan pengaturan durasi sesi maksimum, lihat IAMmanajemen peran. Setelan ini menentukan durasi sesi maksimum yang dapat Anda minta saat Anda mendapatkan kredensial peran. Misalnya, saat Anda menggunakan AssumeRoleAPIoperasi* untuk mengambil peran, Anda dapat menentukan panjang sesi menggunakan DurationSeconds parameter. Gunakan parameter ini untuk menentukan panjang durasi sesi peran mulai dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran tersebut. IAMpengguna yang beralih peran di konsol diberikan durasi sesi maksimum, atau sisa waktu dalam sesi pengguna mereka, mana yang kurang. Anggaplah Anda menetapkan durasi maksimum 5 jam dalam suatu peran. IAMPengguna yang telah masuk ke konsol selama 10 jam (dari maksimum default 12) beralih ke peran. Durasi sesi peran yang tersedia adalah 2 jam. Untuk mempelajari cara melihat nilai maksimum untuk peran Anda, lihat Memperbarui durasi sesi maksimum untuk peran nanti di halaman ini.

Catatan

Pengaturan durasi sesi maksimum tidak membatasi sesi yang diambil oleh layanan AWS .
Kredensi EC2 IAM peran Amazon tidak tunduk pada durasi sesi maksimum yang dikonfigurasi dalam peran.
Untuk memungkinkan pengguna untuk mengambil peran saat ini lagi dalam sesi peran, tentukan peran ARN atau Akun AWS ARN sebagai prinsipal dalam kebijakan kepercayaan peran. Layanan AWS yang menyediakan sumber daya komputasi seperti AmazonEC2, Amazon, Amazon ECSEKS, dan Lambda memberikan kredensi sementara dan secara otomatis memperbarui kredensi ini. Ini memastikan bahwa Anda selalu memiliki seperangkat kredensional yang valid. Untuk layanan ini, tidak perlu mengambil peran saat ini lagi untuk mendapatkan kredensi sementara. Namun, jika Anda berniat untuk meneruskan tag sesi atau kebijakan sesi, Anda perlu mengambil peran saat ini lagi. Untuk mempelajari cara memodifikasi kebijakan kepercayaan peran untuk menambahkan peran utama ARN atau Akun AWS ARN, lihatMemperbarui kebijakan kepercayaan peran .

Topik

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Hapus peran atau profil contoh

Beralih dari pengguna ke peran