Passare da un utente a un ruolo IAM (console) - AWS Identity and Access Management
Sessioni come ruoloConsiderazioniPer passare a un ruoloRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passare da un utente a un ruolo IAM (console)

Puoi cambiare ruolo quando effettui l'accesso come utente IAM, utente del Centro identità IAM, come ruolo federato SAML o come ruolo con federazione delle identità Web. Un ruolo specifica un set di autorizzazioni da utilizzare per accedere alle risorse AWS necessarie. Tuttavia, non si effettua l'accesso a un ruolo, ma una volta effettuato l'accesso come utente IAM è possibile passare a un ruolo IAM. Ciò consente di accantonare temporaneamente le autorizzazioni utente originali e usufruire invece delle autorizzazioni assegnate al ruolo. Il ruolo può trovarsi nel tuo account o in qualsiasi altro Account AWS. Per ulteriori informazioni sui ruoli e i relativi vantaggi e su come crearli e configurarli, consulta Ruoli IAM e Creazione di ruoli IAM.

Le autorizzazioni dell'utente e di qualsiasi ruolo a cui si passa non sono cumulative. Un solo set di autorizzazioni è attivo alla volta. Quando passi a un ruolo, lasci temporaneamente le autorizzazioni utente e utilizzi le autorizzazioni assegnate al ruolo. Quando lasci il ruolo, le autorizzazioni utente vengono automaticamente ripristinate.

Quando si cambiano i ruoli nella Console di gestione AWS, la console utilizza sempre le credenziali originali dell'utente per autorizzare il cambio. Ad esempio, se passi al RuoloA, IAM utilizza le tue credenziali originali per determinare se è possibile assumere il RuoloA. Se poi passi al RuoloB durante l'utilizzo del RuoloA, AWS utilizza ancora le credenziali originali per autorizzare il passaggio al RuoloA.

Nota

Quando accedi come utente al Centro identità IAM, come ruolo federato SAML o come ruolo con federazione delle identità Web, all'avvio della sessione assumi un ruolo IAM. Ad esempio, quando un utente del Centro identità IAM accede al portale di accesso AWS, deve scegliere un set di autorizzazioni correlato a un ruolo prima di poter accedere alle risorse AWS.

Sessioni come ruolo

Per impostazione predefinita, quando si cambia ruolo, la sessione Console di gestione AWS dura 1 ora. Le sessioni dell'utente IAM sono 12 ore per impostazione predefinita, mentre per altri utenti è possibile che la durata della sessione sia diversa. Quando cambi ruolo nella console, viene concessa la durata massima della sessione o il tempo rimanente nella sessione dell'utente, a seconda di quale sia minore. Non puoi prolungare la durata della sessione assumendo un ruolo.

Si supponga, ad esempio, che per un ruolo sia impostata una durata massima di sessione di 10 ore. Hai effettuato l'accesso alla console per 8 ore quando decidi di cambiare ruolo. Ci sono 4 ore rimanenti nella sessione utente, quindi la durata della sessione ruolo consentita è di 4 ore e non la durata massima della sessione di 10 ore. Nella tabella seguente viene illustrato come determinare la durata della sessione per un utente IAM quando si cambia ruolo nella console.

Il tempo rimanente della sessione utente IAM è... La durata della sessione del ruolo è…
Meno della durata massima della sessione del ruolo Tempo rimanente nella sessione utente
Più della durata massima della sessione del ruolo Valore della durata massima della sessione
Uguale alla durata massima della sessione del ruolo Valore della durata massima della sessione (approssimativo)

L'utilizzo delle credenziali perché un ruolo assuma un ruolo diverso viene chiamato concatenamento dei ruoli. Quando si utilizza il concatenamento dei ruoli, la durata della sessione è limitata a un'ora, indipendentemente dall'impostazione della durata massima della sessione configurata per i singoli ruoli. Questo vale per il cambio di ruolo della Console di gestione AWS, la AWS CLI e le operazioni API.

Nota

Alcune console di servizi AWS possono rinnovare automaticamente la sessione di un ruolo quando scade senza che tu debba intervenire. Alcune potrebbero richiedere di ricaricare la pagina del browser per autenticare nuovamente la sessione.

Considerazioni

  • Non puoi cambiare i ruoli se effettui l'accesso come Utente root dell'account AWS.

  • Agli utenti deve essere concessa l'autorizzazione a cambiare ruolo in base alla policy. Per istruzioni, consulta Concedere le autorizzazioni agli utenti per cambiare ruoli.

  • Non è possibile cambiare i ruoli nella Console di gestione AWS in un ruolo che richiede un valore ExternalId. È possibile passare a tale ruolo solo chiamando l'API AssumeRole che supporta il parametro ExternalId.

Per passare a un ruolo

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Accesso alla Console di gestione AWS nella Guida per l'utente di Accedi ad AWS.

  2. Nella Console di gestione AWS scegli il tuo nome utente nella barra di navigazione in alto a destra. Tipicamente appare come questo: username (Nome utente)@account_ID_number_or_alias.

  3. Per cambiare ruolo scegli uno dei seguenti metodi:

    • Scegli Cambia ruolo.

    • Se hai scelto il supporto multisessione, scegli Aggiungi sessione e seleziona Cambia ruolo.

      Nota

      Puoi accedere contemporaneamente fino a un massimo di cinque identità diverse in un unico browser web nella Console di gestione AWS. Per maggiori dettagli, consulta Accesso a più account nella Guida introduttiva alla Console di gestione AWS.

  4. Nella pagina Switch Role (Cambia ruolo) inserisci il numero ID dell'account o l'alias dell'account e il nome del ruolo che è stato fornito dall'amministratore.

    Nota

    Se l'amministratore ha creato il ruolo con un percorso, ad esempio division_abc/subdivision_efg/roleToDoX, allora è necessario digitare tale percorso completo e il nome nella casella Role (Ruolo). Se digiti solo il nome del ruolo, oppure se il Path e il RoleName insieme superano 64 caratteri, il passaggio di ruolo fallisce. Si tratta di un limite dei cookie del browser che memorizzano il nome del ruolo. In questo caso, contatta l'amministratore e chiedi di ridurre le dimensioni del percorso e il nome del ruolo.

  5. (Facoltativo) È possibile inserire un nome di visualizzazione e selezionare un colore di visualizzazione che evidenzierà il ruolo nella barra di navigazione della console.

    • Per Nome di visualizzazione inserisci il testo che desideri visualizzare nella barra di navigazione al posto del tuo nome utente quando questo ruolo è attivo. Viene suggerito un nome, in base all'account e alle informazioni del ruolo, ma è possibile modificarlo in base alle proprie esigenze.

    • Per Colore di visualizzazione, seleziona un colore per evidenziare il nome di visualizzazione.

    Il nome e il colore possono aiutarti a ricordare quando questo ruolo è attivo, ciò cambia le tue autorizzazioni. Ad esempio, per un ruolo che ti consente di accedere all'ambiente di test, puoi specificare un Nome di visualizzazione uguale a Test e selezionare il verde in Colore. Per il ruolo che ti consente di accedere all'ambiente di produzione, puoi specificare un Nome di visualizzazione uguale a Production e selezionare il rosso in Colore.

  6. Seleziona Switch Role (Cambia ruolo). Il nome di visualizzazione e il colore sostituiscono il nome utente nella barra di navigazione ed è possibile iniziare a utilizzare le autorizzazioni concesse dal ruolo.

  7. Dopo aver completato le attività che richiedono il ruolo IAM, potrai tornare alla sessione originale. In questo modo verranno rimosse le autorizzazioni aggiuntive fornite dal ruolo e verranno ripristinate le autorizzazioni standard.

    1. Nella console IAM, scegli il Nome di visualizzazione del tuo ruolo sulla barra di navigazione in alto a destra.

    2. Seleziona Torna indietro.

      Ad esempio, supponiamo di aver eseguito l'accesso all'account numero 123456789012 utilizzando il nome utente Richard. Dopo aver utilizzato il ruolo admin-role, si desidera interrompere l'utilizzo del ruolo e tornare alle autorizzazioni originali. Per smettere di usare il ruolo, scegli admin-role @ 123456789012, quindi scegli Torna indietro.

      Grafico che mostra la funzione Torna indietro per smettere di usare un ruolo IAM e tornare all'utente originale.
Suggerimento

Gli ultimi ruoli utilizzati appariranno nel menu. La prossima volta che devi passare a uno di questi ruoli, è sufficiente selezionare il ruolo desiderato. Se il ruolo non è visualizzato nel menu, è sufficiente digitare l'account e le informazioni del ruolo manualmente.

Risorse aggiuntive