Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli IAM
Prima che un utente, applicazione o servizio possa utilizzare un ruolo che si è creato, è necessario concedere le autorizzazioni per passare al ruolo. È possibile utilizzare qualsiasi politica associata a gruppi o utenti per concedere le autorizzazioni necessarie. In questa sezione viene descritto come concedere agli utenti l'autorizzazione per l'utilizzo di un ruolo. Spiega inoltre come l'utente può passare a un ruolo dagli AWS Management Console Strumenti per Windows PowerShell, da AWS Command Line Interface
(AWS CLI) e dall'AssumeRoleAPI.
Importante
Se crei un ruolo a livello programmatico anziché nella console IAM, hai l'opzione per aggiungere un Path con un massimo di 512 caratteri in aggiunta a RoleName, che può contenere fino a 64 caratteri. Tuttavia, se intendi utilizzare un ruolo con la funzione Cambia ruolo in AWS Management Console, la combinazione Path RoleName non può superare i 64 caratteri.
È possibile cambiare ruolo da AWS Management Console. Puoi assumere un ruolo chiamando un'operazione AWS CLI o API o utilizzando un URL personalizzato. Il metodo utilizzato determina chi può assumere il ruolo e per quanto tempo la sessione del ruolo della sessione può durare. Quando utilizzi AssumeRole* Operazioni API, il ruolo IAM assunto è la risorsa. L'utente o il ruolo che chiama le operazioni API AssumeRole* è il principale.
Confronto dei metodi per l'utilizzo di ruoli | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Metodo per assumere il ruolo | Chi può assumere il ruolo | Metodo per specificare il ciclo di vita delle credenziali | Ciclo di vita delle credenziali (minimo | massimo | predefinito) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Management Console | Utente (mediante lo scambio di ruoli) | Durata massima sessione nella pagina di riepilogo Ruolo | 15 min | Impostazione durata massima sessione² | 1 ora | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
assume-role CLI oppure operazione API AssumeRole |
Utente o ruolo¹ | CLI duration-seconds oppure parametro API DurationSeconds |
15 min | Impostazione durata massima sessione² | 1 ora | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
assume-role-with-saml CLI oppure operazione API AssumeRoleWithSAML |
Tutti gli utenti autenticati utilizzando SAML | CLI duration-seconds oppure parametro API DurationSeconds |
15 min | Impostazione durata massima sessione² | 1 ora | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
assume-role-with-web-identity CLI oppure operazione API AssumeRoleWithWebIdentity |
Qualsiasi utente autenticato tramite un provider OIDC | CLI duration-seconds oppure parametro API DurationSeconds |
15 min | Impostazione durata massima sessione² | 1 ora | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Console URL creata con AssumeRole |
Utente o ruolo | Parametro HTML SessionDuration nell'URL |
15 min | 12 ore | 1 ora | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Console URL creata con AssumeRoleWithSAML |
Tutti gli utenti autenticati utilizzando SAML | Parametro HTML SessionDuration nell'URL |
15 min | 12 ore | 1 ora | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Console URL creata con AssumeRoleWithWebIdentity |
Qualsiasi utente autenticato tramite un provider OIDC | Parametro HTML SessionDuration nell'URL |
15 min | 12 ore | 1 ora | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
¹ L'utilizzo delle credenziali perché un ruolo assuma un ruolo diverso viene chiamato concatenamento dei ruoli. Quando si utilizza il concatenamento dei ruoli, le nuove credenziali sono limitate a una durata massima di un'ora. Quando si utilizzano i ruoli per concedere autorizzazioni alle applicazioni eseguite su istanze EC2, tali applicazioni non sono soggette a questa limitazione.
² Questa impostazione può avere un valore compreso tra 1 ora e 12 ore. Per informazioni sulla modifica dell'impostazione della durata massima della sessione, consulta Modifica di un ruolo. Questa impostazione determina la durata massima della sessione che è possibile richiedere quando si ottengono le credenziali del ruolo. Ad esempio, quando si utilizzano le operazioni dell'AssumeRoleAPI* per assumere un ruolo, è possibile specificare la durata della sessione utilizzando il parametro. DurationSeconds Utilizzare questo parametro per specificare la durata della sessione del ruolo da 900 secondi (15 minuti) fino all'impostazione di durata massima della sessione per il ruolo. Agli utenti IAM che cambiano ruoli nella console viene concessa la durata massima della sessione o il tempo rimanente nella sessione dell'utente, a seconda di quale sia minore. Si supponga di impostare una durata massima di 5 ore su un ruolo. Un utente IAM che è stato collegato alla console per 10 ore (rispetto al valore massimo predefinito di 12) può cambiare ruolo. La durata della sessione di ruolo disponibile è di 2 ore. Per informazioni su come visualizzare il valore massimo per il ruolo, consulta Visualizzazione dell'impostazione di durata massima della sessione per un ruolo più avanti su questa pagina.
Note
-
L'impostazione di durata massima delle sessioni non limita le sessioni assunte dai servizi AWS .
-
Le credenziali del ruolo IAM di Amazon EC2 non sono soggette alla durata massima delle sessioni configurata nel ruolo.
-
Per consentire agli utenti di assumere nuovamente il ruolo corrente all'interno di una sessione di ruolo, specificare il ruolo ARN o Account AWS ARN come principale nella politica di attendibilità dei ruoli. Servizi AWS che forniscono risorse di elaborazione come Amazon EC2, Amazon ECS, Amazon EKS e Lambda forniscono credenziali temporanee e aggiornano automaticamente tali credenziali. Ciò garantisce di disporre sempre di un set di credenziali valido. Per questi servizi, non è necessario riassumere il ruolo attuale per ottenere credenziali temporanee. Tuttavia, se intendi passare tag di sessione o una Policy di sessione, devi riassumere il ruolo attuale. Per informazioni su come modificare una politica di attendibilità dei ruoli per aggiungere il ruolo principale ARN o Account AWS ARN, vedere. Modifica di una policy di attendibilità del ruolo (Console)
Argomenti
- Visualizzazione dell'impostazione di durata massima della sessione per un ruolo
- Concessione di autorizzazioni agli utenti per il cambio di ruoli
- Concessione di autorizzazioni utente per il passaggio di un ruolo a un servizio AWS
- Cambio di un ruolo (console)
- Passaggio a un ruolo IAM (AWS CLI)
- Passaggio a un ruolo IAM (Tools for Windows PowerShell)
- Passaggio a un ruolo IAM (AWS API)
- Utilizzo di un ruolo IAM per concedere autorizzazioni alle applicazioni in esecuzione su istanze Amazon EC2
- Revoca delle credenziali di sicurezza temporanee per i ruoli IAM
Visualizzazione dell'impostazione di durata massima della sessione per un ruolo
È possibile specificare la durata massima della sessione per un ruolo utilizzando AWS Management Console o utilizzando l'API AWS CLI o AWS . Quando si utilizza un'operazione AWS CLI o API per assumere un ruolo, è possibile specificare un valore per il DurationSeconds parametro. Puoi utilizzare questo parametro per specificare la durata della sessione del ruolo, da 900 secondi (15 minuti) fino all'impostazione Durata massima della sessione CLI/API per il ruolo. Prima di specificare il parametro, è consigliabile visualizzare questa impostazione per il ruolo. Se si specifica un valore per il parametro DurationSeconds che è superiore all'impostazione massina, l'operazione ha esito negativo.
Per visualizzare la durata massima della sessione di un ruolo (console)
-
Nel pannello di navigazione della console IAM seleziona Ruoli.
-
Selezionare il nome del ruolo che si desidera visualizzare.
-
Accanto a Durata massima sessione, visualizza la durata massima della sessione concessa per il ruolo. Questa è la durata massima della sessione che puoi specificare nella tua AWS CLI operazione o API.
Per visualizzare l'impostazione della durata massima della sessione di un ruolo (AWS CLI)
-
Se non si conosce il nome del ruolo che si desidera assumere, eseguire il comando seguente per elencare i ruoli nell'account:
-
Per visualizzare la durata massima della sessione del ruolo, eseguire il comando seguente. Visualizzare il parametro di durata massima della sessione.
Per visualizzare l'impostazione della durata massima della sessione (AWS API) di un ruolo
-
Se non si conosce il nome del ruolo che si desidera assumere, chiamare la seguente operazione per elencare i ruoli nell'account:
-
Per visualizzare la durata massima della sessione del ruolo, eseguire la seguente operazione. Visualizzare il parametro di durata massima della sessione.
