Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Méthodes pour assumer un rôle
Avant qu’un utilisateur, une application ou un service soit en mesure d’utiliser un rôle que vous avez créé, vous devez lui accorder les autorisations nécessaires pour changer de rôle. Pour accorder ces autorisations, vous pouvez utiliser n’importe quelle politique attachée à l’un des groupes ou des utilisateurs. Une fois les autorisations accordées, l'utilisateur peut assumer un rôle dans les outils pour Windows PowerShell, le AWS Command Line Interface
(AWS CLI) et l'AssumeRoleAPI. AWS Management Console
Important
Si vous créez un rôle par programmation plutôt que dans la console IAM, vous avez la possibilité d'ajouter un chemin Path de 512 caractères au maximum à l'élément RoleName qui lui, est de 64 caractères au maximum. Toutefois, si vous avez l'intention d'utiliser un rôle avec la fonctionnalité Switch Role dans le AWS Management Console, la combinaison Path RoleName ne peut pas dépasser 64 caractères.
La méthode utilisée pour endosser le rôle détermine qui peut endosser le rôle et la durée de la session de rôle. Lorsque vous l'utilisez AssumeRole* les opérations d'API, le rôle IAM que vous endossez est la ressource. Le rôle ou l'utilisateur IAM qui appelle les opérations de l'API AssumeRole* est le principal.
Le tableau suivant compare les méthodes pour endosser des rôles.
| Méthode permettant d'endosser le rôle | Qui peut endosser le rôle | Méthode permettant de spécifier la durée de vie des informations d'identification | Durée de vie des informations d'identification (min | max | par défaut) |
|---|---|---|---|
| AWS Management Console | Utilisateur ou rôles¹ (en changeant de rôle) | Durée de session maximale sur la page récapitulative des rôles | 15 min | Durée de session maximale² | 1 h |
Opération d'interface de ligne de commande (CLI) assume-role ou d'API AssumeRole |
Utilisateur ou rôle¹ | Paramètre de CLI duration-seconds ou d'API DurationSeconds |
15 min | Durée de session maximale² | 1 h |
Opération d'interface de ligne de commande (CLI) assume-role-with-saml ou d'API AssumeRoleWithSAML |
Tout utilisateur authentifié utilisant SAML | Paramètre de CLI duration-seconds ou d'API DurationSeconds |
15 min | Durée de session maximale² | 1 h |
Opération d'interface de ligne de commande (CLI) assume-role-with-web-identity ou d'API AssumeRoleWithWebIdentity |
Tout utilisateur authentifié à l’aide d’un fournisseur OIDC | Paramètre de CLI duration-seconds ou d'API DurationSeconds |
15 min | Durée de session maximale² | 1 h |
URL de console construite avec AssumeRole |
Utilisateur ou rôle | Paramètre HTML SessionDuration dans l'URL |
15 min | 12 h | 1 h |
URL de console construite avec AssumeRoleWithSAML |
Tout utilisateur authentifié utilisant SAML | Paramètre HTML SessionDuration dans l'URL |
15 min | 12 h | 1 h |
URL de console construite avec AssumeRoleWithWebIdentity |
Tout utilisateur authentifié à l’aide d’un fournisseur OIDC | Paramètre HTML SessionDuration dans l'URL |
15 min | 12 h | 1 h |
¹ L'utilisation des informations d'identification d'un rôle pour assumer un rôle différent s'appelle le chaînage des rôles. Lorsque vous utilisez le chaînage de rôles, la durée de session du rôle est limitée à une heure. Cela s'applique au changement de AWS Management Console rôle et aux opérations d'API. AWS CLI Cette limitation ne s'applique pas à l'attribution initiale d'un rôle à partir des informations d'identification de l'utilisateur, ni aux applications exécutées sur des EC2 instances Amazon à l'aide de profils d'instance.
² La valeur de ce paramètre peut varier de 1 heure à 12 heures. Pour en savoir plus sur la modification du paramètre de durée de session maximale, consultez Gestion des rôles IAM. Ce paramètre détermine la durée de session maximale que vous pouvez demander lorsque vous obtenez les informations d'identification du rôle. Par exemple, lorsque vous utilisez les opérations d'API AssumeRole* pour assumer un rôle, vous pouvez spécifier une durée de session à l'aide du DurationSeconds paramètre. Utilisez ce paramètre pour spécifier la durée de la session du rôle entre 900 secondes (15 minutes) et la durée de session maximale pour le rôle. Les utilisateurs IAM qui changent de rôle dans la console se voient accorder la durée de session maximale ou le temps restant dans la session de l'utilisateur, selon la durée la plus courte. Supposons que vous définissiez une durée maximale de 5 heures sur un rôle. Un utilisateur IAM qui s'est connecté à la console pendant 10 heures (sur 12, le maximum par défaut) décide d'endosser le rôle. La durée de la session de rôle disponible est de 2 heures. Pour savoir comment afficher la valeur maximale pour votre rôle, consultez Mettre à jour la durée de session maximale pour un rôle plus loin sur cette page.
Remarques
-
Le paramètre de durée maximale de session ne limite pas les sessions endossées par les services AWS .
-
Les informations d'identification du rôle Amazon EC2 IAM ne sont pas soumises à la durée de session maximale configurée dans le rôle.
-
Pour permettre aux utilisateurs d'assumer à nouveau le rôle actuel au cours d'une session de rôle, spécifiez l'ARN ou l' Compte AWS ARN comme principal dans la politique de confiance des rôles. Services AWS qui fournissent des ressources de calcul telles qu'Amazon EC2, Amazon ECS, Amazon EKS et Lambda fournissent des informations d'identification temporaires et mettent automatiquement à jour ces informations d'identification. Cela garantit que vous disposez toujours d'un ensemble d'informations d'identification valide. Pour ces services, il n'est pas nécessaire d'endosser à nouveau le rôle actuel pour obtenir des informations d'identification temporaires. Toutefois, si vous avez l'intention de transférer des balises de session ou une politique de session, vous devez endosser à nouveau le rôle actuel. Pour savoir comment modifier une politique d'approbation des rôles afin d'ajouter l'ARN ou Compte AWS l'ARN du rôle principal, consultezMise à jour d’une politique d’approbation de rôle .
Rubriques
