Alternância para uma função (console)
Uma função especifica um conjunto de permissões que você pode usar para acessar os recursos da AWS de que você precisa. Nesse sentido, ela é semelhante a um usuário do AWS Identity and Access Management (IAM). Ao fazer login como usuário, você obtém um conjunto específico de permissões. No entanto, você não faz login em uma função, mas uma vez que fez login, pode mudar para uma função. Isso separa, temporariamente, as permissões originais de usuário e, em vez disso, oferece a você as permissões atribuídas à função. O perfil pode estar em sua própria conta ou em qualquer outra Conta da AWS. Para obter mais informações sobre funções, seus benefícios e como criá-los, consulte Perfis do IAMe Criação de funções do IAM.
Importante
As permissões do seu usuário do e quaisquer funções para as quais você mudar não são cumulativas. Apenas um conjunto de permissões é ativo por vez. Quando você muda para uma função, perde, temporariamente, as permissões de usuário e trabalha com permissões atribuídas à função. Ao sair da função, suas permissões de usuário são, automaticamente, restauradas.
Quando você muda de funções no AWS Management Console, o console sempre usa suas credenciais originais para autorizar a mudança. Isso será aplicável se você fizer login como usuário do IAM, como usuário no Centro de Identidade do IAM, como perfil federado SAML ou como perfil federado de identidade da Web. Por exemplo, se você alternar para FunçãoA, o IAM usará seu usuário original ou as credenciais de função federada para determinar se você tem permissão para assumir a FunçãoA. Se você tentar mudar para a RoleB enquanto estiver usando a RoleA, o AWS ainda usará o usuário original ou as credenciais da função federada para autorizar a mudança, e não as credenciais da RoleA.
O que é preciso saber sobre como alternar funções no console
Esta seção fornece informações adicionais sobre como usar o console do IAM para alternar para uma função.
Observações:
-
Você não pode mudar de funções caso se conecte como o Usuário raiz da conta da AWS. Você pode alternar perfis quando fizer login como usuário do IAM, como usuário no Centro de Identidade do IAM, como perfil federado SAML ou como perfil federado de identidade da Web.
-
Não é possível alternar no AWS Management Console para uma função que exija um valor ExternalId. Você só pode alternar para tal perfil chamando a API
AssumeRole, que é compatível com o parâmetroExternalId.
-
Se o seu administrador fornecer um link, escolha o link e passe para a etapa Passo 5 do procedimento a seguir. O link direciona você para a página da Web apropriada e preenche o ID da conta (ou o alias) e o nome da função.
-
Você pode criar manualmente o link e, em seguida, pular para a etapa Passo 5 no procedimento a seguir. Para criar o link, use o seguinte formato:
https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_displaySe você substituir o seguinte texto:
-
account_id_number: o identificador de conta de 12 dígitos fornecido pelo seu administrador. Como alternativa, o administrador pode criar um alias de conta, para que o URL inclua o nome de sua conta, em vez de um ID de conta. Para obter mais informações, consulte Tipos de usuário, no Guia do usuário do Início de Sessão da AWS. -
role_name: o nome da função que você deseja assumir. Você pode obter isso no final do ARN de função. Por exemplo, forneça o nome da funçãoTestRoleda seguinte função de ARN:arn:aws:iam::123456789012:role/TestRole. -
(Opcional)
text_to_display: o texto que você deseja que seja exibido na barra de navegação no lugar de seu nome de usuário quando esta função estiver ativa.
-
-
Você pode alternar manualmente as funções utilizando as informações fornecidas pelo administrador, usando os procedimentos a seguir.
Por padrão, quando você alterna funções, a sessão do AWS Management Console dura uma hora. As sessões de usuário do IAM são de 12 horas por padrão. Os usuários do IAM que trocam de perfis no console recebem a duração máxima da sessão da perfil ou o tempo restante na sessão do usuário, o que for menor. Por exemplo, suponha que uma duração máxima de sessão de dez horas seja definida para uma função. Um usuário do IAM esteve conectado ao console por 8 horas quando decide alternar para a função. Há 4 horas restantes na sessão do usuário, portanto, a duração permitida da sessão de perfil é de 4 horas. A tabela a seguir mostra como determinar a duração da sessão de um usuário do IAM ao alternar funções no console.
Duração da sessão da função do console dos usuários do IAM | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| O tempo restante da sessão do usuário do IAM é de… | A duração da sessão da função é de… | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Menor que a duração máxima da sessão da função | O tempo restante na sessão do usuário | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Maior que a duração máxima da sessão da função | Valor de duração máxima da sessão | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Igual à duração máxima da sessão da função | Valor máximo da duração da sessão (aproximado) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
nota
Alguns consoles de produtos da AWS podem renovar automaticamente sua sessão de função quando ela expira sem que você execute nenhuma ação. Alguns podem solicitar que você recarregue a página do navegador para autenticar novamente sua sessão.
Para solucionar problemas comuns que você pode encontrar ao assumir uma função, consulte Não consigo assumir uma função.
Para mudar para uma função (console)
-
Faça login no AWS Management Console como um usuário do IAM e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No console do IAM, escolha seu nome de usuário na barra de navegação no canto superior direito. Geralmente, ele é assim:
username@account_ID_number_or_alias. -
Selecione Switch Role (Mudar de função). Se esta for a primeira vez que esta opção é selecionada, uma página será exibida com mais informações. Depois de ler, escolha Switch Role (Mudar de função). Se você limpar seus cookies do navegador, esta página poderá ser exibida novamente.
-
Na página Mudar de função, digite o número do ID da conta ou o alias da conta e o nome da função fornecida pelo administrador.
nota
Se o administrador criou a função com um caminho, como
division_abc/subdivision_efg/roleToDoX, será necessário digitar este caminho completo e o nome na caixa Função. Se você digitar apenas o nome da função, ou se oPathe oRoleNamecombinados excederem 64 caracteres, a mudança de função falhará. Este é um limite dos cookies do navegador que armazena o nome da função. Se isso acontecer, entre em contato com o administrador e peça para reduzir o tamanho do nome do caminho e da função. -
(Opcional) Escolha um Display name (Nome de exibição). Digite o texto que deseja que seja exibido na barra de navegação no lugar de seu nome de usuário quando esta função estiver ativa. Um nome é sugerido, baseado nas informações da conta e da função, mas você poderá alterá-lo para outro com significado para você. Você também pode selecionar uma cor para destacar o nome de exibição. O nome e a cor podem ajudar a lembrá-lo quando esta função está ativa, o que muda suas permissões. Por exemplo, para uma função que oferece acesso ao ambiente de teste, você pode especificar um Display Name (Nome de exibição) de
Teste selecionar verde em Color (Cor). Para a função que oferece acesso à produção, você pode especificar um Display Name (Nome de exibição) deProductione selecionar vermelho em Color (Cor). -
Selecione Switch Role (Mudar de função). O nome de exibição e a cor substituem seu nome de usuário na barra de navegação e você pode começar a usar as permissões concedidas pela função.
Dica
As últimas funções que você usou aparecem no menu. Na próxima vez que você precisar mudar para uma dessas funções, bastará escolher a função desejada. Você só precisa digitar as informações da conta e da função manualmente se a função não for exibida no menu.
Para parar de usar uma função (console)
-
No console do IAM, escolha o Display Name (Nome de exibição) da sua função na barra de navegação no canto superior direito. Geralmente, ele é assim:
rolename@account_ID_number_or_alias. -
Selecione Back to (Voltar para)
username. A função e suas permissões são desativadas e as permissões associadas ao seu usuário e grupos do IAM são restauradas automaticamente.Por exemplo, suponha que você tenha feito login à conta número
123456789012usando o nome de usuárioRichardRoe. Depois de usar a funçãoAdminRole, você deseja interromper o uso da função e retornar para suas permissões originais. Para interromper o uso de uma função, escolha AdminRole @ 123456789012 e, depois, Back to RichardRoe (Voltar para RichardRoe).
