Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan peran IAM
Sebelum pengguna, aplikasi, atau layanan dapat menggunakan peran yang Anda buat, Anda harus memberikan izin untuk beralih ke peran tersebut. Anda dapat menggunakan kebijakan apa pun yang dilampirkan ke grup atau pengguna untuk memberikan izin yang diperlukan. Bagian ini menjelaskan cara memberikan izin kepada pengguna untuk menggunakan peran. Ini juga menjelaskan bagaimana pengguna dapat beralih ke peran dari AWS Management Console, Alat untuk Windows PowerShell, AWS Command Line Interface
(AWS CLI) dan AssumeRoleAPI.
penting
Saat Anda membuat program peran secara terprogram, alih-alih di konsol IAM, Anda memiliki opsi untuk menambahkan Path hingga 512 karakter selain RoleName, yang panjangnya dapat mencapai 64 karakter. Namun, jika Anda bermaksud menggunakan peran dengan fitur Switch Role di AWS Management Console, maka gabungan Path dan RoleName tidak dapat melebihi 64 karakter.
Anda dapat beralih peran dari AWS Management Console. Anda dapat mengambil peran dengan memanggil operasi AWS CLI atau API atau dengan menggunakan URL kustom. Metode yang Anda gunakan menentukan siapa yang dapat mengasumsikan peran tersebut dan berapa lama sesi peran tersebut dapat berlangsung. Saat menggunakan operasi AssumeRole* API, peran IAM yang Anda asumsikan adalah sumber daya. Pengguna atau peran yang memanggil operasi AssumeRole* API adalah prinsipnya.
Membandingkan metode untuk menggunakan peran | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Metode untuk mengasumsikan peran | Siapa yang bisa mengambil peran | Metode untuk menentukan masa pakai kredensi | Masa pakai kredensi (min | maks | default) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Management Console | Pengguna (dengan beralih peran) | Durasi sesi maksimum pada Halaman ringkasan Peran | 15 menit | Pengaturan durasi sesi maksimum² | 1 jam | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Operasi assume-role CLI atau AssumeRole API |
Pengguna atau peran¹ | Parameter duration-seconds CLI atau DurationSeconds API |
15 menit | Pengaturan durasi sesi maksimum² | 1 jam | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Operasi assume-role-with-saml CLI atau AssumeRoleWithSAML API |
Pengguna yang diotentikasi menggunakan SAML | Parameter duration-seconds CLI atau DurationSeconds API |
15 menit | Pengaturan durasi sesi maksimum² | 1 jam | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Operasi assume-role-with-web-identity CLI atau AssumeRoleWithWebIdentity API |
Setiap pengguna yang diautentikasi menggunakan penyedia OIDC | Parameter duration-seconds CLI atau DurationSeconds API |
15 menit | Pengaturan durasi sesi maksimum² | 1 jam | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
URL Konsol yang dibangun dengan AssumeRole |
Pengguna atau peran | SessionDuration Parameter HTML dalam URL |
15 menit | 12 jam | 1 jam | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
URL Konsol yang dibangun dengan AssumeRoleWithSAML |
Pengguna yang diotentikasi menggunakan SAML | SessionDuration Parameter HTML dalam URL |
15 menit | 12 jam | 1 jam | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
URL Konsol yang dibangun dengan AssumeRoleWithWebIdentity |
Setiap pengguna yang diautentikasi menggunakan penyedia OIDC | SessionDuration Parameter HTML dalam URL |
15 menit | 12 jam | 1 jam | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
¹ Menggunakan kredensial untuk satu peran untuk mengasumsikan peran berbeda disebut rantai peran. Saat Anda menggunakan rantai peran, kredensial baru Anda dibatasi hingga durasi maksimum satu jam. Saat Anda menggunakan peran untuk memberikan izin ke aplikasi yang berjalan pada instans EC2, aplikasi tersebut tidak terkena batasan ini.
² Pengaturan ini dapat memiliki nilai dari 1 jam hingga 12 jam. Untuk detail tentang pengubahan pengaturan durasi sesi maksimum, lihat Mengubah peran. Setelan ini menentukan durasi sesi maksimum yang dapat Anda minta saat Anda mendapatkan kredensial peran. Misalnya, saat Anda menggunakan AssumeRoleoperasi* API untuk mengambil peran, Anda dapat menentukan panjang sesi menggunakan DurationSeconds parameter. Gunakan parameter ini untuk menentukan panjang durasi sesi peran mulai dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran tersebut. Pengguna IAM yang beralih peran di konsol diberikan durasi sesi maksimum, atau sisa waktu dalam sesi pengguna mereka, mana yang lebih sedikit. Anggaplah Anda menetapkan durasi maksimum 5 jam dalam suatu peran. Pengguna IAM yang telah masuk ke konsol selama 10 jam (dari nilai maksimum standar 12) berganti peran. Durasi sesi peran yang tersedia adalah 2 jam. Untuk mempelajari cara melihat nilai maksimum untuk peran Anda, lihat Lihat pengaturan durasi sesi maksimum untuk peran nanti di halaman ini.
Catatan
-
Pengaturan durasi sesi maksimum tidak membatasi sesi yang diambil oleh layanan AWS .
-
Kredensi peran Amazon EC2 IAM tidak tunduk pada durasi sesi maksimum yang dikonfigurasi dalam peran.
-
Untuk memungkinkan pengguna untuk mengambil peran saat ini lagi dalam sesi peran, tentukan peran ARN atau Akun AWS ARN sebagai prinsipal dalam kebijakan kepercayaan peran. Layanan AWS yang menyediakan sumber daya komputasi seperti Amazon EC2, Amazon ECS, Amazon EKS, dan Lambda memberikan kredensi sementara dan secara otomatis memperbarui kredensional ini. Ini memastikan bahwa Anda selalu memiliki seperangkat kredensional yang valid. Untuk layanan ini, tidak perlu mengambil peran saat ini lagi untuk mendapatkan kredensi sementara. Namun, jika Anda berniat untuk meneruskan tag sesi atau kebijakan sesi, Anda perlu mengambil peran saat ini lagi. Untuk mempelajari cara memodifikasi kebijakan kepercayaan peran untuk menambahkan peran utama ARN atau Akun AWS ARN, lihat. Mengubah kebijakan kepercayaan peran (konsole)
Topik
- Lihat pengaturan durasi sesi maksimum untuk peran
- Memberikan izin pengguna untuk berganti peran
- Memberi izin kepada pengguna untuk meneruskan peran ke layanan AWS
- Beralih ke peran (konsol)
- Beralih ke peran IAM ()AWS CLI
- Beralih ke peran IAM (Alat untuk Windows PowerShell)
- Beralih ke peran IAM (AWS API)
- Menggunakan peran IAM untuk memberikan izin pada aplikasi yang berjalan di instans Amazon EC2.
- Mencabut kredensial keamanan sementara peran IAM
Lihat pengaturan durasi sesi maksimum untuk peran
Anda dapat menentukan durasi sesi maksimum untuk peran menggunakan AWS Management Console atau dengan menggunakan AWS API AWS CLI atau. Saat Anda menggunakan operasi AWS CLI atau API untuk mengambil peran, Anda dapat menentukan nilai untuk DurationSeconds parameter tersebut. Gunakan parameter untuk menentukan durasi sesi peran, mulai dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran tersebut. Sebelum menetapkan parameter, Anda harus melihat pengaturan ini untuk peran Anda. Jika Anda menentukan nilai untuk parameter DurationSeconds yang lebih tinggi dari pengaturan maksimum, operasi gagal.
Untuk melihat durasi sesi maksimum peran (konsol)
-
Di panel navigasi konsol IAM, pilih Peran.
-
Pilih nama peran yang ingin Anda lihat.
-
Di samping Durasi sesi maksimum, lihat panjang sesi maksimum yang diberikan untuk peran tersebut. Ini adalah durasi sesi maksimum yang dapat Anda tentukan dalam operasi Anda AWS CLI, atau API.
Untuk melihat pengaturan durasi sesi maksimum peran (AWS CLI)
-
Jika Anda tidak tahu nama peran yang ingin Anda asumsikan, jalankan perintah berikut untuk membuat daftar peran di akun Anda:
-
Untuk melihat durasi sesi maksimum peran, jalankan perintah berikut. Lalu lihat parameter durasi sesi maksimum.
Untuk melihat setelan durasi sesi maksimum (AWS API) peran
-
Jika Anda tidak tahu nama peran yang ingin Anda jalankan, lakukan operasi berikut untuk membuat daftar peran di akun Anda:
-
Untuk melihat durasi sesi maksimum peran, lakukan operasi berikut. Lalu lihat parameter durasi sesi maksimum.
