Mudar de um usuário para um perfil do IAM (console) - AWS Identity and Access Management
Sessões de perfisConsideraçõesPara mudar para uma funçãoRecursos adicionais

Mudar de um usuário para um perfil do IAM (console)

Você pode alternar perfis quando fizer login como usuário do IAM, como usuário no Centro de Identidade do IAM, como perfil federado SAML ou como perfil federado de identidade da Web. Uma função especifica um conjunto de permissões que você pode usar para acessar os recursos da AWS de que você precisa. No entanto, você não inicia sessão em um perfil, mas, depois de entrar como usuário do IAM, poderá mudar para um perfil do IAM. Isso separa, temporariamente, as permissões originais de usuário e, em vez disso, oferece a você as permissões atribuídas à função. O perfil pode estar em sua própria conta ou em qualquer outra Conta da AWS. Para obter mais informações sobre funções, seus benefícios e como criá-los, consulte Perfis do IAMe criar um perfil do IAM.

As permissões do seu usuário e quaisquer perfis para os quais você mudar não são cumulativos. Apenas um conjunto de permissões é ativo por vez. Quando você muda para uma função, perde, temporariamente, as permissões de usuário e trabalha com permissões atribuídas à função. Ao sair da função, suas permissões de usuário são, automaticamente, restauradas.

Quando você muda de funções no AWS Management Console, o console sempre usa suas credenciais originais para autorizar a mudança. Por exemplo, se você alternar para RoleA, o IAM usará suas credenciais originais para determinar se você tem permissão para assumir RoleA. Se você tentar mudar para RoleB enquanto usa RoleA, o AWS ainda usará suas credenciais originais para autorizar a mudança, e não as credenciais de RoleA.

nota

Ao iniciar sessão como um usuário no Centro de Identidade do IAM, seja como um perfil federado SAML ou perfil federado de identidade da Web, você assumirá um perfil do IAM ao iniciar sua sessão. Por exemplo, quando um usuário no Centro de Identidade do IAM inicia sessão no portal de acesso do AWS, ele deve escolher um conjunto de permissões que se correlacione a uma função antes de poder acessar os recursos da AWS.

Sessões de perfis

Ao mudar de perfis, sua sessão do AWS Management Console dura 1 hora por padrão. As sessões de usuário do IAM são de 12 horas por padrão. Outros usuários podem ter durações de sessão diferentes definidas. Quando você muda de perfil no console, recebe a duração máxima da sessão ou o tempo restante na sessão de usuário, o que for menor. Ao assumir um perfil, não é possível pode estender a duração da sessão. Por exemplo, suponha que uma duração máxima de sessão de dez horas seja definida para uma função. Você estava conectado ao console por 8 horas quando decide mudar para o perfil. Há 4 horas restantes em sua sessão de usuário. Portanto, a duração permitida da sessão de perfil é 4 horas, e não a duração máxima de 10 horas da sessão. A tabela a seguir mostra como determinar a duração da sessão de um usuário do IAM ao alternar funções no console.

O tempo restante da sessão do usuário do IAM é de… A duração da sessão da função é de…
Menor que a duração máxima da sessão da função O tempo restante na sessão do usuário
Maior que a duração máxima da sessão da função Valor de duração máxima da sessão
Igual à duração máxima da sessão da função Valor máximo da duração da sessão (aproximado)
nota

Alguns consoles de produtos da AWS podem renovar automaticamente sua sessão de função quando ela expira sem que você execute nenhuma ação. Alguns podem solicitar que você recarregue a página do navegador para autenticar novamente sua sessão.

Considerações

  • Você não poderá mudar de perfis caso se conecte como Usuário raiz da conta da AWS.

  • Os usuários devem receber permissão para mudar de perfil por meio de políticas. Para obter instruções, consulte Conceder permissões a um usuário para alternar perfis.

  • Não é possível mudar de perfil no AWS Management Console para um perfil que exija um valor ExternalId. Você só pode alternar para tal perfil chamando a API AssumeRole, que é compatível com o parâmetro ExternalId.

Para mudar para uma função

  1. Siga o procedimento de login adequado para o tipo de usuário, conforme descrito no tópico Como fazer login na AWS no Guia do usuário do AWS Sign-In.

  2. Na página inicial do console, selecione o serviço do IAM.

  3. No AWS Management Console, escolha seu nome de usuário na barra de navegação no canto superior direito. Geralmente, ele é assim: username@account_ID_number_or_alias.

  4. Selecione Switch Role (Mudar de função).

  5. Na página Mudar de função, digite o número do ID da conta ou o alias da conta e o nome da função fornecida pelo administrador.

    nota

    Se o administrador criou a função com um caminho, como division_abc/subdivision_efg/roleToDoX, será necessário digitar este caminho completo e o nome na caixa Função. Se você digitar apenas o nome da função, ou se o Path e o RoleName combinados excederem 64 caracteres, a mudança de função falhará. Este é um limite dos cookies do navegador que armazena o nome da função. Se isso acontecer, entre em contato com o administrador e peça para reduzir o tamanho do nome do caminho e da função.

  6. (Opcional) É possível inserir um nome de exibição e selecionar uma cor de exibição que destacará a função na barra de navegação do console.

    • Em Nome de exibição, digite o texto que deseja que seja exibido na barra de navegação no lugar de seu nome de usuário quando esta função estiver ativa. Um nome é sugerido, baseado nas informações da conta e da função, mas você poderá alterá-lo para outro com significado para você.

    • Em Cor de exibição, selecione uma cor para destacar o nome de exibição.

    O nome e a cor podem ajudar a lembrá-lo quando esta função está ativa, o que muda suas permissões. Por exemplo, para uma função que oferece acesso ao ambiente de teste, você pode especificar um Display Name (Nome de exibição) de Test e selecionar verde em Color (Cor). Para a função que oferece acesso à produção, você pode especificar um Display Name (Nome de exibição) de Production e selecionar vermelho em Color (Cor).

  7. Selecione Switch Role (Mudar de função). O nome de exibição e a cor substituem seu nome de usuário na barra de navegação e você pode começar a usar as permissões concedidas pela função.

  8. Depois de concluir as tarefas que exigem o perfil do IAM, você poderá voltar para a sessão original. Isso removerá as permissões adicionais fornecidas pelo perfil e restaurará as suas permissões padrão.

    1. No console do IAM, escolha o Display Name (Nome de exibição) da sua função na barra de navegação no canto superior direito.

    2. Selecione Mudar de volta.

      Por exemplo, suponha que você tenha feito login à conta número 123456789012 usando o nome de usuário RichardRoe. Depois de usar a função admin-role, você deseja interromper o uso da função e retornar para suas permissões originais. Para parar de usar o perfil, escolha admin-role @ 123456789012 e, em seguida, escolha Mudar de volta.

      Gráfico que localiza a função Mudar de volta para parar de usar um perfil do IAM e retornar ao usuário original.
dica

As últimas funções que você usou aparecem no menu. Na próxima vez que você precisar mudar para um desses perfis, bastará escolher o perfil desejado. Você só precisará digitar as informações da conta e do perfil manualmente se o perfil não for exibido no menu.

Recursos adicionais