Beralih ke peran (konsol)

Peran menentukan serangkaian izin yang dapat Anda gunakan untuk mengakses sumber daya AWS yang Anda perlukan. Dalam pengertian itu, ini mirip dengan pengguna di AWS Identity and Access Management (IAM). Saat Anda masuk sebagai pengguna, Anda mendapatkan serangkaian izin tertentu. Namun, Anda tidak masuk ke sebuah peran, tetapi setelah masuk, Anda dapat beralih ke sebuah peran. Sementara waktu ini mengesampingkan izin pengguna awal Anda dan justru memberikan izin yang ditetapkan untuk peran. Perannya bisa di akun Anda sendiri atau lainnya Akun AWS. Untuk informasi lebih lanjut tentang peran, keuntungannya, dan cara membuatnya, lihat IAMperan, dan IAMpenciptaan peran.

penting

Izin pengguna Anda dan peran apa pun yang Anda ambil tidak bersifat kumulatif. Hanya satu rangkaian izin yang aktif pada satu waktu. Saat Anda beralih ke suatu peran, sementara Anda meninggalkan izin pengguna dan bekerja dengan izin yang diberikan ke peran tersebut. Saat Anda keluar dari peran, izin pengguna asli Anda dipulihkan secara otomatis.

Saat Anda beralih peran AWS Management Console, konsol selalu menggunakan kredenal asli Anda untuk mengotorisasi sakelar. Ini berlaku baik Anda masuk sebagai IAM pengguna, pengguna di Pusat IAM Identitas, sebagai peran SAML -federasi, atau sebagai peran federasi identitas web. Misalnya, jika Anda beralih ke RoleAIAM, gunakan pengguna asli atau kredenal peran federasi untuk menentukan apakah Anda diizinkan untuk mengambil RoleA. Jika Anda kemudian beralih ke RoleB saat Anda menggunakan RoleA, masih menggunakan pengguna asli Anda atau kredensi peran federasi untuk mengotorisasi sakelar AWS , bukan kredensi untuk RoleA.

Hal-hal yang perlu diketahui tentang pergantian peran dalam konsol

Bagian ini memberikan informasi tambahan tentang penggunaan IAM konsol untuk beralih ke peran.

Catatan:

• Anda tidak dapat beralih peran jika Anda masuk sebagai Pengguna root akun AWS. Anda dapat beralih peran saat masuk sebagai IAM pengguna, pengguna di Pusat IAM Identitas, peran SAML -federasi, atau peran federasi identitas web.

• Anda tidak dapat beralih peran AWS Management Console ke peran yang membutuhkan ExternalIdnilai. Anda dapat beralih ke peran seperti itu hanya dengan memanggil AssumeRoleAPIyang mendukung ExternalId parameter.

• Jika administrator memberi Anda tautan, pilih tautan lalu lewati ke langkah Tahap 5 dalam prosedur berikut. Tautan tersebut membawa Anda ke halaman web yang sesuai dan mengisi ID akun (atau alias) dan nama peran.

• Anda dapat membuat tautan secara manual lalu melompat ke langkah Tahap 5 dalam prosedur berikut. Untuk membuat tautan Anda, gunakan format berikut:

  https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

  Jika Anda mengganti teks berikut:

  • account_id_number – Pengidentifikasi akun 12-digit yang disediakan untuk Anda oleh administrator Anda. Atau, administrator Anda mungkin membuat alias akun sehingga URL menyertakan nama akun Anda, bukan ID akun. Untuk informasi selengkapnya, lihat Jenis Pengguna di Panduan AWS Sign-In Pengguna.

  • role_name – Nama peran yang ingin Anda asumsikan. Anda bisa mendapatkan ini dari akhir peranARN. Misalnya, berikan nama TestRole peran dari peran berikutARN:arn:aws:iam::123456789012:role/TestRole.

  • (Opsional) text_to_display – Teks yang ingin Anda tampilkan di bilah navigasi di tempat nama pengguna Anda saat peran ini aktif.

• Anda dapat berganti peran secara manual dengan menggunakan informasi yang disediakan administrator Anda dengan menggunakan prosedur berikut.

Secara default, saat Anda beralih peran, AWS Management Console sesi Anda berlangsung selama 1 jam. IAMsesi pengguna adalah 12 jam secara default. IAMpengguna yang beralih peran di konsol diberikan durasi sesi maksimum peran, atau sisa waktu dalam sesi pengguna, mana yang lebih sedikit. Misalnya, anggaplah durasi sesi maksimum 10 jam ditetapkan untuk peran. IAMPengguna telah masuk ke konsol selama 8 jam ketika mereka memutuskan untuk beralih ke peran. Ada sisa waktu 4 jam di sesi pengguna , jadi durasi sesi peran yang diizinkan adalah 4 jam. Tabel berikut menunjukkan cara menentukan durasi sesi untuk IAM pengguna saat beralih peran di konsol.

IAMwaktu sesi pengguna yang tersisa adalah...	Durasi sesi peran adalah..
Kurang dari durasi sesi maksimum peran	Waktu yang tersisa di sesi pengguna
Lebih dari durasi sesi maksimum peran	Nilai durasi sesi maksimum
Setara dengan durasi sesi maksimum peran	Nilai durasi sesi maksimum (perkiraan)

catatan

Beberapa konsol AWS layanan dapat memperbarui sesi peran Anda secara otomatis ketika berakhir tanpa Anda mengambil tindakan apa pun. Beberapa mungkin akan meminta Anda memuat ulang halaman peramban untuk mengotentikasi ulang sesi Anda.

Untuk memecahkan masalah umum yang mungkin Anda temui saat mengasumsikan peran, lihat Saya tidak dapat mengsumsikan peran.

Untuk beralih ke peran (konsol)

1. Masuk ke AWS Management Console sebagai IAM pengguna dan buka IAM konsol di https://console.aws.amazon.com/iam/.

2. Di IAM konsol, pilih nama pengguna Anda di bilah navigasi di kanan atas. Itu seperti ini: username@account_ID_number_or_alias.

3. Pilih Ganti Peran. Jika ini pertama kalinya Anda memilih opsi ini, akan muncul halaman dengan informasi lebih lanjut. Setelah itu, pilih Ganti Peran. Jika Anda menghapus cookie peramban Anda, halaman ini dapat muncul lagi.

4. Pada halaman Ganti Peran, ketik nomor ID akun atau alias akun dan nama peran yang diberikan oleh administrator Anda.

   catatan

   Jika administrator Anda membuat peran itu dengan sebuah jalur, seperti division_abc/subdivision_efg/roleToDoX, maka Anda harus mengetik jalur dan nama lengkap tersebut di kotak Peran. Jika Anda hanya mengetik nama peran, atau jika gabungan Path dan RoleName lebih dari 64 karakter, pergantian peran gagal. Ini adalah batasan cookie peramban yang menyimpan nama peran tersebut. Jika ini terjadi, hubungi administrator Anda dan minta mereka untuk mengurangi ukuran jalur dan nama peran.

5. (Opsional) Pilih Nama Tampilan. Ketiikan teks yang ingin Anda tampilkan di bilah navigasi di tempat nama pengguna Anda saat peran ini aktif. Ada saran nama, berdasarkan informasi akun dan peran, tetapi Anda dapat mengubahnya menjadi apa pun yang berarti bagi Anda. Anda juga dapat memilih warna untuk menyorot nama tampilan. Nama dan warna dapat membantu mengingatkan Anda saat peran ini aktif, yang mengubah izin Anda. Misalnya, untuk peran yang memberi Anda akses ke lingkungan pengujian, Anda dapat menentukan Nama tampilan dari Test dan pilih Warna hijau. Untuk peran yang memberi Anda akses ke produksi, Anda dapat menentukan Nama tampilan dari Production dan pilih merah sebagai Warna.

6. Pilih Ganti Peran. Nama tampilan dan warna menggantikan nama pengguna Anda pada bilah navigasi, dan Anda dapat mulai menggunakan izin yang diberikan peran tersebut kepada Anda.

Kiat

Beberapa peran terakhir yang Anda gunakan muncul pada menu. Kali berikutnya Anda perlu beralih ke salah satu peran tersebut, Anda cukup memilih peran yang Anda inginkan. Anda hanya perlu mengetikkan informasi akun dan peran secara manual jika peran tidak ditampilkan pada menu.

Untuk berhenti menggunakan peran (konsol)

1. Di IAM konsol, pilih nama Tampilan peran Anda di bilah navigasi di kanan atas. Itu terlihat seperti ini: rolename@account_ID_number_or_alias.

2. Pilih Kembali ke username. Peran dan izinnya dinonaktifkan, dan izin yang terkait dengan IAM pengguna dan grup Anda dipulihkan secara otomatis.

   Misalnya, anggap Anda masuk ke nomor akun 123456789012 menggunakan nama pengguna RichardRoe. Setelah menggunakan peran AdminRole, Anda ingin berhenti menggunakan peran dan kembali ke izin awal. Untuk berhenti menggunakan peran, pilih AdminRole @ 123456789012, lalu pilih Kembali ke. RichardRoe