本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 擔任角色的方法 在使用者、應用程式或服務可以使用您建立的角色之前,您必須[授予切換到該角色的許可](id_roles_use_permissions-to-switch.md)。您可以使用連接至群組或使用者的任何政策,來授予必要的許可。授予許可後,使用者可以從 AWS 管理主控台、Tools for Windows PowerShell、 AWS Command Line Interface (AWS CLI) 和 [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) API 擔任角色。 **重要** 當您以程式設計方式而不是在 IAM 主控台中建立角色時,則除了 `RoleName` 之外,您還可以選擇新增高達 512 個字元的 `Path`,該字元長度最多 64 個字元。不過,如果您想要在 中使用具有**切換角色**功能的角色 AWS 管理主控台,則合併的 `Path`和 `RoleName`不得超過 64 個字元。 用於擔任角色的方法決定誰可以擔任該角色以及角色工作階段可以持續多久。使用 `AssumeRole*` API 操作時,您擔任的 IAM 角色是資源。呼叫 `AssumeRole*` API 操作的使用者或角色是主體。 下表比較擔任角色的方法。 | 擔任角色的方法 | **誰可以擔任這個角色** | **指定憑證生命週期的方法** | **憑證存留期 (最小 \| 最大 \| 預設)** | | --- | --- | --- | --- | | AWS 管理主控台 | 使用者或角色¹ (透過[切換角色](id_roles_use_switch-role-console.md)) | Role (角色) 摘要頁面上的 Maximum session duration (最大工作階段持續時間) | 15 分鐘 \| 最大工作階段持續時間設定² \| 1 小時 | | [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role.html) CLI 或 [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) API 操作 | 使用者或角色¹ | duration-seconds CLI 或 DurationSeconds API 參數 | 15 分鐘 \| 最大工作階段持續時間設定² \| 1 小時 | | [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html) CLI 或 [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API 操作 | 任何使用 SAML 驗證的使用者 | duration-seconds CLI 或 DurationSeconds API 參數 | 15 分鐘 \| 最大工作階段持續時間設定² \| 1 小時 | | [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-web-identity.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-web-identity.html) CLI 或 [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) API 操作 | 使用 OIDC 提供者進行身分驗證的任何使用者 | duration-seconds CLI 或 DurationSeconds API 參數 | 15 分鐘 \| 最大工作階段持續時間設定² \| 1 小時 | | 使用 [ 建構的](id_roles_providers_enable-console-custom-url.md)主控台 URLAssumeRole | 使用者或角色 | SessionDuration URL 中的 HTML 參數 | 15 分鐘 \| 12 小時 \| 1 小時 | | 使用 [ 建構的](id_roles_providers_enable-console-custom-url.md)主控台 URLAssumeRoleWithSAML | 任何使用 SAML 驗證的使用者 | SessionDuration URL 中的 HTML 參數 | 15 分鐘 \| 12 小時 \| 1 小時 | | 使用 [ 建構的](id_roles_providers_enable-console-custom-url.md)主控台 URLAssumeRoleWithWebIdentity | 使用 OIDC 提供者進行身分驗證的任何使用者 | SessionDuration URL 中的 HTML 參數 | 15 分鐘 \| 12 小時 \| 1 小時 | ¹ 使用來自一個角色的憑證來擔任不同的角色稱為[角色鏈結](id_roles.md#iam-term-role-chaining)。當您使用角色鏈結時,角色的工作階段持續時間限制為一小時。這適用於 AWS 管理主控台 角色切換 AWS CLI和 API 操作。此限制不適用於從使用者憑證初始擔任角色,也不適用於在使用執行個體設定檔的 Amazon EC2 執行個體上執行的應用程式。 ² 此設定的值可介於 1 小時至 12 小時。有關修改最大工作階段持續時間設定的詳細資訊,請參閱 [IAM 角色管理](id_roles_manage.md)。此設定決定取得角色憑證時可以請求的最大工作階段持續時間。例如,當您使用 [AssumeRole\*](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) API 操作來擔任角色時,可以使用 `DurationSeconds` 參數指定工作階段長度。使用此參數指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段長度。在主控台中切換角色的 IAM 使用者會被授予最長工作階段持續時間或使用者工作階段中的剩餘時間,以較短者為準。假設您在角色上設定 5 小時的最大持續時間。已登入主控台 10 小時的 IAM 使用者 (超出預設最大值 12 小時) 會切換至角色。可用的角色工作階段持續時間為 2 小時。如要了解如何查看角色的最大值,請參閱本頁後述的 [更新角色的最大工作階段持續時間](id_roles_update-role-settings.md#id_roles_update-session-duration)。 **備註** 工作階段持續時間設定上限不會限制由 AWS 服務擔任的工作階段。 Amazon EC2 IAM 角色憑證不受角色中設定的工作階段持續時間上限的限制。 若要允許使用者在角色工作階段中再次擔任目前角色,請在角色信任政策中將角色 ARN 或 AWS 帳戶 ARN 指定為主體。 AWS 服務 會提供運算資源,例如 Amazon EC2、Amazon ECS、Amazon EKS 和 Lambda,可提供臨時登入資料並自動更新這些登入資料。此可確保您始終擁有一組有效的憑證。對於這些服務,不需要再次擔任目前的角色即可取得臨時憑證。但是,如果您想要傳遞[工作階段標籤](id_session-tags.md)或一個[工作階段政策](access_policies.md#policies_session),則需要再次擔任目前的角色。若要了解如何修改角色信任政策以新增主要角色 ARN 或 AWS 帳戶 ARN,請參閱 [更新角色信任政策](id_roles_update-role-trust-policy.md)。 **Topics** + [從使用者切換至 IAM 角色 (主控台)](id_roles_use_switch-role-console.md) + [切換到 IAM 角色 (AWS CLI)](id_roles_use_switch-role-cli.md) + [切換至 IAM 角色 (Tools for Windows PowerShell)](id_roles_use_switch-role-twp.md) + [切換到 IAM 角色 (AWS API)](id_roles_use_switch-role-api.md) + [使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可](id_roles_use_switch-role-ec2.md) + [使用執行個體設定檔](id_roles_use_switch-role-ec2_instance-profiles.md)