Metode untuk mengambil peran

Sebelum pengguna, aplikasi, atau layanan dapat menggunakan peran yang Anda buat, Anda harus memberikan izin untuk beralih ke peran tersebut. Anda dapat menggunakan kebijakan apa pun yang dilampirkan ke grup atau pengguna untuk memberikan izin yang diperlukan. Setelah izin diberikan, pengguna dapat mengambil peran dari AWS Management Console, Alat untuk Windows PowerShell, AWS Command Line Interface (AWS CLI) dan AssumeRoleAPI.

penting

Saat Anda membuat program peran secara terprogram, alih-alih di konsol IAM, Anda memiliki opsi untuk menambahkan Path hingga 512 karakter selain RoleName, yang panjangnya dapat mencapai 64 karakter. Namun, jika Anda bermaksud menggunakan peran dengan fitur Switch Role di AWS Management Console, maka gabungan Path dan RoleName tidak dapat melebihi 64 karakter.

Metode yang digunakan untuk mengambil peran menentukan siapa yang dapat mengambil peran dan berapa lama sesi peran dapat berlangsung. Saat menggunakan operasi AssumeRole* API, peran IAM yang Anda asumsikan adalah sumber daya. Pengguna atau peran yang memanggil operasi AssumeRole* API adalah prinsipnya.

Tabel berikut membandingkan metode untuk mengasumsikan peran.

Metode untuk mengasumsikan peran	Siapa yang bisa mengambil peran	Metode untuk menentukan masa pakai kredensi	Masa pakai kredensi (min \| maks \| default)
AWS Management Console	Pengguna atau peran¹ (dengan beralih peran)	Durasi sesi maksimum pada Halaman ringkasan Peran	15 menit \| Pengaturan durasi sesi maksimum² \| 1 jam
Operasi `assume-role` CLI atau `AssumeRole` API	Pengguna atau peran¹	Parameter `duration-seconds` CLI atau `DurationSeconds` API	15 menit \| Pengaturan durasi sesi maksimum² \| 1 jam
Operasi `assume-role-with-saml` CLI atau `AssumeRoleWithSAML` API	Pengguna yang diotentikasi menggunakan SAML	Parameter `duration-seconds` CLI atau `DurationSeconds` API	15 menit \| Pengaturan durasi sesi maksimum² \| 1 jam
Operasi `assume-role-with-web-identity` CLI atau `AssumeRoleWithWebIdentity` API	Setiap pengguna yang diautentikasi menggunakan penyedia OIDC	Parameter `duration-seconds` CLI atau `DurationSeconds` API	15 menit \| Pengaturan durasi sesi maksimum² \| 1 jam
URL Konsol yang dibangun dengan `AssumeRole`	Pengguna atau peran	`SessionDuration` Parameter HTML dalam URL	15 menit \| 12 jam \| 1 jam
URL Konsol yang dibangun dengan `AssumeRoleWithSAML`	Pengguna yang diotentikasi menggunakan SAML	`SessionDuration` Parameter HTML dalam URL	15 menit \| 12 jam \| 1 jam
URL Konsol yang dibangun dengan `AssumeRoleWithWebIdentity`	Setiap pengguna yang diautentikasi menggunakan penyedia OIDC	`SessionDuration` Parameter HTML dalam URL	15 menit \| 12 jam \| 1 jam

¹ Menggunakan kredensi dari satu peran untuk mengambil peran yang berbeda disebut rantai peran. Saat Anda menggunakan rantai peran, durasi sesi peran dibatasi hingga satu jam. Ini berlaku untuk peralihan AWS Management Console peran AWS CLI, dan operasi API. Batasan ini tidak berlaku untuk asumsi awal peran dari kredenal pengguna, atau aplikasi yang berjalan di EC2 instans Amazon yang menggunakan profil instans.

² Pengaturan ini dapat memiliki nilai dari 1 jam hingga 12 jam. Untuk detail tentang pengubahan pengaturan durasi sesi maksimum, lihat IAMmanajemen peran. Setelan ini menentukan durasi sesi maksimum yang dapat Anda minta saat Anda mendapatkan kredensial peran. Misalnya, saat Anda menggunakan AssumeRole* Operasi API untuk mengasumsikan peran, Anda dapat menentukan durasi sesi dengan menggunakan parameter DurationSeconds. Gunakan parameter ini untuk menentukan panjang durasi sesi peran mulai dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran tersebut. Pengguna IAM yang beralih peran di konsol diberikan durasi sesi maksimum, atau sisa waktu dalam sesi pengguna mereka, mana yang lebih sedikit. Anggaplah Anda menetapkan durasi maksimum 5 jam dalam suatu peran. Pengguna IAM yang telah masuk ke konsol selama 10 jam (dari nilai maksimum standar 12) berganti peran. Durasi sesi peran yang tersedia adalah 2 jam. Untuk mempelajari cara melihat nilai maksimum untuk peran Anda, lihat Memperbarui durasi sesi maksimum untuk peran nanti di halaman ini.

Catatan

Pengaturan durasi sesi maksimum tidak membatasi sesi yang diambil oleh layanan AWS .
Kredensi peran Amazon EC2 IAM tidak tunduk pada durasi sesi maksimum yang dikonfigurasi dalam peran.
Untuk memungkinkan pengguna untuk mengambil peran saat ini lagi dalam sesi peran, tentukan peran ARN atau Akun AWS ARN sebagai prinsipal dalam kebijakan kepercayaan peran. Layanan AWS yang menyediakan sumber daya komputasi seperti Amazon EC2, Amazon ECS, Amazon EKS, dan Lambda memberikan kredensi sementara dan secara otomatis memperbarui kredensional ini. Ini memastikan bahwa Anda selalu memiliki seperangkat kredensional yang valid. Untuk layanan ini, tidak perlu mengambil peran saat ini lagi untuk mendapatkan kredensi sementara. Namun, jika Anda berniat untuk meneruskan tag sesi atau kebijakan sesi, Anda perlu mengambil peran saat ini lagi. Untuk mempelajari cara memodifikasi kebijakan kepercayaan peran untuk menambahkan peran utama ARN atau Akun AWS ARN, lihat. Memperbarui kebijakan kepercayaan peran

Topik

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Hapus peran atau profil contoh

Beralih dari pengguna ke peran