切換到角色(控制台) - AWS Identity and Access Management
在主控台中切換角色的注意事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

切換到角色(控制台)

「角色」指定一組許可,您可以使用它來存取所需的 AWS 資源。從這個意義上講,它類似於 AWS Identity and Access Management(IAM)中的用戶。當您以使用者身分登入時,您將取得一組特定的許可。不過,您不登入角色,但一旦登入後就可以切換角色。這會暫時擱置了原始使用者許可,而不是為您提供指派給該角色的許可。該角色可以在您自己的帳戶或任何其他 AWS 帳戶中。如需有關角色、其優勢以及建立方式的詳細資訊,請參閱 IAM角色IAM角色建立

重要

您的使用者以及您切換到任何角色的許可都不會累計。每次只有一組許可是作用中。當您切換角色時,您會暫時放棄使用者許可並使用指派給該角色的許可。當您退出角色後,您的使用者許可會自動恢復。

當您在中切換角色時 AWS Management Console,主控台一律會使用您的原始認證來授權交換器。無論您是以使用者身分、IAM身分識別中心中的IAM使用者身分登入、以同盟角色身分登入,還是以網路身分SAML同盟角色身分登入,都適用此選項。例如,如果您切換到 RoleA,請使用原始IAM使用者或同盟角色認證來決定是否允許您採用 RoleA。如果您接著在使用 RoleA 時切換至 RoleB, AWS 仍會使用原始使用者或同盟角色認證來授權交換器,而不是 RoleA 的認證。

在主控台中切換角色的注意事項

本節提供有關使用IAM主控台切換至角色的其他資訊。

備註:

  • 如果您以「」的身分登入,則無法切換角色 AWS 帳戶根使用者。當您以使用者身分、IAM身分識別中心中的IAM使用者、同盟角色或網路識別SAML聯合角色登入時,您可以切換角色。

  • 您無法將中的角色切換 AWS Management Console 到需要ExternalId值的角色。您只能透過呼叫支援ExternalId參數的方式切換到這類角色。AssumeRoleAPI

  • 如果管理員為您提供連結,請選擇該連結,然後在以下程序中跳至步驟 步驟 5。該連結將您帶到適當的網頁,並填入帳戶 ID (或別名) 和角色名稱。

  • 您可以手動建構連結,然後在以下程序中跳到步驟 步驟 5。若要建構您的連結,請使用以下格式:

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    在這裡取代以下文字:

    • account_id_number — 管理員提供給您的 12 位數帳號識別碼。或者,您的管理員可能會建立帳戶別名,以便URL包含您的帳戶名稱,而不是帳戶 ID。如需詳細資訊,請參閱《AWS 登入 使用者指南》 中的使用者類型

    • role_name — 您要承擔的角色名稱。你可以從角色的結尾得到這個ARN。例如,提供下列TestRole角色的角色名稱ARN:arn:aws:iam::123456789012:role/TestRole

    • (選用) text_to_display — 當此角色處於活動狀態時,您想要顯示在導覽列上的文字,以取代您的使用者名稱。

  • 您可以使用管理員提供的資訊手動切換角色,方法如下。您可以使用管理員提供的信息通過以下步驟手動切換角色。

根據預設,當您切換角色時, AWS Management Console 工作階段會持續 1 小時。IAM使用者工作階段預設為 12 小時。IAM在主控台中切換角色的使用者會被授與角色最長工作階段持續時間或使用者工作階段中的剩餘時間 (以較少者為準)。例如,假設為角色設定的最大工作階段持續時間為 10 小時。當IAM使用者決定切換至角色時,已登入主控台 8 小時。使用者工作階段還剩餘 4 小時,因此允許的角色工作階段持續時間為 4 小時。下表顯示在主控台中切換角色時,如何判斷IAM使用者的工作階段持續時間。

IAM用戶會話剩餘時間是... 角色工作階段持續時間為…
小於角色最大工作階段持續時間 使用者工作階段中的剩餘時間
大於角色最大工作階段持續時間 最大工作階段持續時間值
等於角色最大工作階段持續時間 最大工作階段持續時間值 (近似值)
注意

有些 AWS 服務主控台可以在您的角色工作階段到期時自動續約,而無需您採取任何動作。有些主控台可能會提示您重新載入瀏覽器頁面以重新驗證您的工作階段。

若要排除您在擔任角色時可能遇到的常見問題,請參閱 我無法擔任角色

切換到角色 (主控台)

  1. 以IAM使用者 AWS Management Console 身分登入,然後在開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在IAM主控台中,在右上角的導覽列上選擇您的使用者名稱。它通常看起來像這樣:username@account_ID_number_or_alias.

  3. 選擇 Switch Role (切換角色)。如果這是第一次選擇此選項,則頁面會顯示更多資訊。讀取後,選擇 Switch Role (切換角色)。如果清除瀏覽器 cookie,則此頁面可以再次顯示

  4. Switch Role (切換角色) 頁面上,輸入帳戶 ID 號碼或帳戶別名以及管理員提供的角色名稱。

    注意

    如果管理員已使用路徑 (例如 division_abc/subdivision_efg/roleToDoX) 建立角色,則必須在 Role (角色) )方塊中輸入該完整路徑和名稱。如果僅輸入角色名稱,或者組合的 PathRoleName 超過 64 個字元,則角色切換失敗。這是存放角色名稱的瀏覽器 cookie 的限制。如果發生這種情況,請聯絡您的管理員,並要求他們減小路徑和角色名稱的大小。

  5. (選用) 選擇 Display name (顯示名稱)。當此角色處於作用中時,輸入要在導覽列上顯示的文字代替您的使用者名稱。根據帳戶和角色資訊建議使用名稱,但您可以將其變更為對您有意義的任何名稱。您也可以選擇顏色反白顯示名稱。名稱和顏色有助於在此角色處於作用中時提醒您,這會變更您的許可。例如,對於允許您存取測試環境的角色,您可以指定 TestDisplay name (顯示名稱) 並在 Color (顏色)中選擇綠色。對於允許您存取生產的角色,您可以指定 ProductionDisplay name (顯示名稱) 並在 Color (顏色)中選擇紅色。

  6. 選擇 Switch Role (切換角色)。顯示名稱和顏色將替換導覽列上的使用者名稱,您可以開始使用該角色授予您的許可。

秘訣

您使用的最後幾個角色會顯示在選單。下次需要切換到其中一個角色時,您只需選擇所需的角色。如果角色未顯示在選單上,則只需手動輸入帳戶和角色資訊。

要停止使用角色 (主控台)

  1. 在IAM主控台中,在右上角的導覽列上選擇角色的 [顯示名稱]。它通常看起來像這樣:rolename@account_ID_number_or_alias.

  2. 選擇返回 username。 會停用角色及其權限,而且會自動還原與您的IAM使用者和群組相關聯的權限。

    例如,假設您使用使用者名稱 123456789012 登入到帳戶編號 RichardRoe。使用過 AdminRole 角色後,您想要停止使用該角色並傳回您的原始許可。若要停止使用角色,請選擇 AdminRole @ 123456789012,然後選擇 [返回至]。 RichardRoe

    理查德·羅伊停止使用 AdminRole 角色