本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 從使用者切換至 IAM 角色 (主控台) 當您做為 IAM 使用者、IAM Identity Center 中的使用者、SAML 聯合角色或 Web 聯合身分角色登入時,才能切換角色。*角色*會指定一組許可,您可以使用這些許可來存取您需要 AWS 的資源。不過,您不登入角色,但一旦以 IAM 使用者身分登入後,就可以切換到 IAM 角色。這會暫時擱置了原始使用者許可,而不是為您提供指派給該角色的許可。該角色可以在您自己的帳戶或任何其他 AWS 帳戶中。如需有關角色、其優勢以及建立方式的詳細資訊,請參閱 [IAM 角色](id_roles.md) 和 [IAM 角色建立](id_roles_create.md)。 您的使用者以及您切換到任何角色的許可都不會累計。每次只有一組許可是作用中。當您切換角色時,您會暫時放棄使用者許可並使用指派給該角色的許可。當您退出角色後,您的使用者許可會自動恢復。 當您在 中切換角色時 AWS 管理主控台,主控台一律會使用您的原始登入資料來授權切換。例如,如果您切換到 RoleA,IAM 會使用您的原始憑證確定是否允許您擔任 RoleA。如果您接著*在使用 RoleA* RoleA 時切換到 RoleB, AWS 仍然會使用**原始**登入資料來授權切換,而不是 RoleA 的登入資料。 **注意** 以 IAM Identity Center 中的使用者、SAML 聯合角色或 Web 聯合身分角色登入時,您將在啟動工作階段時擔任 IAM 角色。例如,當 IAM Identity Center 中的使用者登入 AWS 存取入口網站時,他們必須先選擇與角色相關的許可集,才能存取 AWS 資源。 ## 角色工作階段 當您切換角色時,您的 AWS 管理主控台 工作階段預設會持續 1 小時。IAM 使用者工作階段預設為 12 小時,其他使用者可能已定義不同的工作階段持續時間。在主控台中切換角色時,您會取得角色工作階段持續時間上限或使用者工作階段中的剩餘時間 (以較短者為準)。您無法透過擔任角色來延長工作階段持續時間。 例如,假設為角色設定的最大工作階段持續時間為 10 小時。您決定切換至該角色時,已登入主控台 8 小時。使用者工作階段還剩餘 4 小時,因此允許的角色工作階段持續時間為 4 小時,而不是工作階段持續時間上限 10 小時。下表顯示在主控台中切換角色時如何判斷 IAM 使用者的工作階段持續時間。 | IAM 使用者工作階段剩餘時間為... | 角色工作階段持續時間為… | | --- | --- | | 小於角色最大工作階段持續時間 | 使用者工作階段中的剩餘時間 | | 大於角色最大工作階段持續時間 | 最大工作階段持續時間值 | | 等於角色最大工作階段持續時間 | 最大工作階段持續時間值 (近似值) | 使用來自一個角色的憑證來擔任不同的角色稱為[角色鏈結](id_roles.md#iam-term-role-chaining)。使用角色鏈結時,無論為個別角色設定的工作階段持續時間上限為何,工作階段持續時間都將限制為一小時。這適用於 AWS 管理主控台 角色切換 AWS CLI和 API 操作。 **注意** 有些 AWS 服務主控台可以在角色工作階段過期時自動續約,而無需您採取任何動作。有些主控台可能會提示您重新載入瀏覽器頁面以重新驗證您的工作階段。 ## 考量事項 + 如果您以 身分登入,則無法切換角色 AWS 帳戶根使用者。 + 必須授予使用者依政策切換角色的許可。如需說明,請參閱[向使用者授予切換角色的許可](id_roles_use_permissions-to-switch.md)。 + 您無法將 中的角色切換 AWS 管理主控台 為需要 [ExternalId](id_roles_common-scenarios_third-party.md#id_roles_third-party_external-id) 值的角色。您只能透過呼叫支援 `ExternalId` 參數的 [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) API 來切換到此類角色。 ## 若要切換至角色 1. 按照 *AWS 登入 User Guide* 中的 [Sign in to the AWS 管理主控台](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 中適合使用者類型的登入程序操作。 1. 在 中 AWS 管理主控台,選擇右上角導覽列上的使用者名稱。它通常如下:**{{username}}@{{account\_ID\_number\_or\_alias}}**。 1. 選取下列其中一種方法來切換角色: + 選擇**切換角色**。 + 若已選擇加入多工作階段支援,請選擇**新增工作階段**,然後選取**切換角色**。 **注意** 您可以在 AWS 管理主控台中的單一 Web 瀏覽器中同時登入最多五個不同的身分。如需詳細資訊,請參閱 *AWS 管理主控台 Getting Started Guide* 中的 [Signing in to multiple accounts](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/multisession.html)。 1. 在 **Switch Role (切換角色)** 頁面上,輸入帳戶 ID 號碼或帳戶別名以及管理員提供的角色名稱。 **注意** 如果管理員已使用路徑 (例如 `division_abc/subdivision_efg/roleToDoX`) 建立角色,則必須在 **Role (角色)** )方塊中輸入該完整路徑和名稱。如果僅輸入角色名稱,或者組合的 `Path` 和 `RoleName` 超過 64 個字元,則角色切換失敗。這是存放角色名稱的瀏覽器 cookie 的限制。如果發生這種情況,請聯絡您的管理員,並要求他們減小路徑和角色名稱的大小。 1. (選用) 您可以輸入顯示名稱,然後選取在主控台導覽列中反白顯示角色的顯示顏色。 + 在**顯示名稱**欄位中,鍵入當此角色處於作用中時,要在導覽列上顯示之用以取代使用者名稱的文字。根據帳戶和角色資訊建議使用名稱,但您可以將其變更為對您有意義的任何名稱。 + 在**顯示顏色**欄位中,選取顏色以反白顯示顯示名稱。 名稱和顏色有助於在此角色處於作用中時提醒您,這會變更您的許可。例如,對於允許您存取測試環境的角色,您可以指定 **Test** 的 **Display name** (顯示名稱) 並在 **Color** (顏色)中選擇綠色。對於允許您存取生產的角色,您可以指定 **Production** 的 **Display name** (顯示名稱) 並在 **Color** (顏色)中選擇紅色。 1. 選擇 **Switch Role** (切換角色)。顯示名稱和顏色將替換導覽列上的使用者名稱,您可以開始使用該角色授予您的許可。 1. 完成需要 IAM 角色的任務後,您可以切換回原始工作階段。這將移除角色提供的額外許可,並讓您返回標準許可。 1. 在 IAM 主控台中,選擇導覽列右上角的角色 **Display Name** (顯示名稱)。 1. 選擇**切換回**。 例如,假設您使用使用者名稱 `123456789012` 登入到帳戶編號 `Richard`。使用過 `admin-role` 角色後,您想要停止使用該角色並傳回您的原始許可。若要停止使用角色,請選擇 **admin-role @ 123456789012**,然後選擇**切換回**。 ![圖形定位切「換返回」函數,可停止使用 IAM 角色並返回原始使用者。](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/role-stop-using.png) **提示** 您使用的最後幾個角色會顯示在選單。下次想要切換到其中一個角色時,您只需選擇所需的角色。如果角色未顯示在功能表上,則只需手動鍵入帳戶和角色資訊。 ## 其他資源 + [向使用者授予切換角色的許可](id_roles_use_permissions-to-switch.md) + [授予使用者將角色傳遞至 AWS 服務的許可](id_roles_use_passrole.md) + [建立角色以將許可授予 IAM 使用者](id_roles_create_for-user.md) + [建立角色以將許可委派給 AWS 服務](id_roles_create_for-service.md) + [IAM 角色疑難排解](troubleshoot_roles.md)