Alternância para uma função (console) - AWS Identity and Access Management

Alternância para uma função (console)

Uma função especifica um conjunto de permissões que você pode usar para acessar os recursos da AWS de que você precisa. Nesse sentido, ela é semelhante a um usuário do AWS Identity and Access Management (IAM). Ao fazer login como usuário, você obtém um conjunto específico de permissões. No entanto, você não faz login em uma função, mas uma vez que fez login, pode mudar para uma função. Isso separa, temporariamente, as permissões originais de usuário e, em vez disso, oferece a você as permissões atribuídas à função. A função pode estar em sua própria conta ou em qualquer outra conta da AWS. Para obter mais informações sobre funções, seus benefícios e como criá-los, consulte Funções do IAMe Criação de funções do IAM.

Importante

As permissões do seu usuário do IAM e quaisquer funções para as quais você mude não são cumulativas. Apenas um conjunto de permissões é ativo por vez. Quando você muda para uma função, perde, temporariamente, as permissões de usuário e trabalha com permissões atribuídas à função. Ao sair da função, suas permissões de usuário são, automaticamente, restauradas.

Quando você muda de funções no AWS Management Console, o console sempre usa suas credenciais originais para autorizar a mudança. Isso se aplica se você fizer login como usuário do IAM, como função federada SAML ou como função federada de identidade da Web. Por exemplo, se você alternar para FunçãoA, o IAM usará seu usuário original ou as credenciais de função federada para determinar se você tem permissão para assumir a FunçãoA. Se você tentar mudar para a RoleB enquanto estiver usando a RoleA, o AWS ainda usará o usuário original ou as credenciais da função federada para autorizar a mudança, e não as credenciais da RoleA.

O que é preciso saber sobre como alternar funções no console

Esta seção fornece informações adicionais sobre como usar o console do IAM para alternar para uma função.

nota

Você não pode alternar funções se fizer login como usuário raiz da Conta da AWS . Você só pode alternar funções ao fazer login como usuário do IAM.

  • Se o seu administrador fornecer um link, escolha o link e passe para a etapa Passo 5 do procedimento a seguir. O link direciona você para a página da Web apropriada e preenche o ID da conta (ou o alias) e o nome da função.

  • Você pode criar manualmente o link e, em seguida, pular para a etapa Passo 5 no procedimento a seguir. Para criar o link, use o seguinte formato:

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    Se você substituir o seguinte texto:

    • account_id_number: o identificador de conta de 12 dígitos fornecido pelo seu administrador. Como alternativa, o administrador pode criar um alias de conta, para que o URL inclua o nome de sua conta, em vez de um ID de conta. Para obter mais informações, consulte O ID da sua conta da AWS e seu alias.

    • role_name: o nome da função que você deseja assumir. Você pode obter isso no final do ARN de função. Por exemplo, forneça o nome da função TestRole da seguinte função de ARN: namearn:aws:iam::403299380220:role/TestRole.

    • (Opcional) text_to_display: o texto que você deseja que seja exibido na barra de navegação no lugar de seu nome de usuário quando esta função estiver ativa.

  • Você pode alternar manualmente as funções utilizando as informações fornecidas pelo administrador, usando os procedimentos a seguir.

Por padrão, quando você alterna funções, a sessão do AWS Management Console dura uma hora. As sessões de usuário do IAM são de 12 horas por padrão. Os usuários do IAM que trocam de funções no console recebem a duração máxima da sessão da função ou o tempo restante na sessão do usuário do IAM, o que for menor. Por exemplo, suponha que uma duração máxima de sessão de dez horas seja definida para uma função. Um usuário do IAM esteve conectado ao console por 8 horas quando decide alternar para a função. Há 4 horas restantes na sessão do usuário do IAM, portanto, a duração permitida da sessão de função é de 4 horas. A tabela a seguir mostra como determinar a duração da sessão de um usuário do IAM ao alternar funções no console.

Duração da sessão da função do console dos usuários do IAM
O tempo restante da sessão do usuário do IAM é de… A duração da sessão da função é de…
Menor que a duração máxima da sessão da função O tempo restante na sessão do usuário do IAM
Maior que a duração máxima da sessão da função Valor de duração máxima da sessão
Igual à duração máxima da sessão da função Valor máximo da duração da sessão (aproximado)
nota

Alguns consoles de produtos da AWS podem renovar automaticamente sua sessão de função quando ela expira sem que você execute nenhuma ação. Alguns podem solicitar que você recarregue a página do navegador para autenticar novamente sua sessão.

Para solucionar problemas comuns que você pode encontrar ao assumir uma função, consulte Não consigo assumir uma função.

Para mudar para uma função (console)

  1. Faça login no AWS Management Console como um usuário do IAM e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No console do IAM, escolha seu nome de usuário na barra de navegação no canto superior direito. Geralmente, ele é assim: username@account_ID_number_or_alias.

  3. Selecione Mudar de função. Se esta for a primeira vez que esta opção é selecionada, uma página será exibida com mais informações. Depois de ler, escolha Switch Role (Mudar de função). Se você limpar seus cookies do navegador, esta página poderá ser exibida novamente.

  4. Na página Mudar de função, digite o número do ID da conta ou o alias da conta e o nome da função fornecida pelo administrador.

    nota

    Se o administrador criou a função com um caminho, como division_abc/subdivision_efg/roleToDoX, será necessário digitar este caminho completo e o nome na caixa Função. Se você digitar apenas o nome da função, ou se o Path e o RoleName combinados excederem 64 caracteres, a mudança de função falhará. Este é um limite dos cookies do navegador que armazena o nome da função. Se isso acontecer, entre em contato com o administrador e peça para reduzir o tamanho do nome do caminho e da função.

  5. (Opcional) Escolha um Display name (Nome de exibição). Digite o texto que deseja que seja exibido na barra de navegação no lugar de seu nome de usuário quando esta função estiver ativa. Um nome é sugerido, baseado nas informações da conta e da função, mas você poderá alterá-lo para outro com significado para você. Você também pode selecionar uma cor para destacar o nome de exibição. O nome e a cor podem ajudar a lembrá-lo quando esta função está ativa, o que muda suas permissões. Por exemplo, para uma função que oferece acesso ao ambiente de teste, você pode especificar um Display Name (Nome de exibição) de Test e selecionar verde em Color (Cor). Para a função que oferece acesso à produção, você pode especificar um Display Name (Nome de exibição) de Production e selecionar vermelho em Color (Cor).

  6. Selecione Mudar de função. O nome de exibição e a cor substituem seu nome de usuário na barra de navegação e você pode começar a usar as permissões concedidas pela função.

Tip

As últimas funções que você usou aparecem no menu. Na próxima vez que você precisar mudar para uma dessas funções, bastará escolher a função desejada. Você só precisa digitar as informações da conta e da função manualmente se a função não for exibida no menu.

Para parar de usar uma função (console)

  1. No console do IAM, escolha o Display Name (Nome de exibição) da sua função na barra de navegação no canto superior direito. Geralmente, ele é assim: rolename@account_ID_number_or_alias.

  2. Selecione Back to (Voltar para) username. A função e suas permissões são desativadas e as permissões associadas ao seu usuário e grupos do IAM são restauradas automaticamente.

    Por exemplo, suponha que você tenha feito login à conta número 123456789012 usando o nome de usuário RichardRoe. Depois de usar a função AdminRole, você deseja interromper o uso da função e retornar para suas permissões originais. Para interromper o uso de uma função, escolha AdminRole @ 123456789012 e, depois, Back to RichardRoe (Voltar para RichardRoe).

    
            Richard Roe interrompe o uso da função AdminRole