Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Metodi per assumere un ruolo

Modalità Focus
Metodi per assumere un ruolo - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prima che un utente, applicazione o servizio possa utilizzare un ruolo che è stato creato, è necessario concedere le autorizzazioni per passare al ruolo. È possibile utilizzare qualsiasi policy collegata a gruppi o utenti per concedere le autorizzazioni necessarie. Una volta concesse le autorizzazioni, l'utente può assumere un ruolo dalla AWS Management Console, da Strumenti per Windows PowerShell, da AWS Command Line Interface (AWS CLI) e dall'API AssumeRole.

Importante

Se crei un ruolo a livello programmatico anziché nella console IAM, hai l'opzione per aggiungere un Path con un massimo di 512 caratteri in aggiunta a RoleName, che può contenere fino a 64 caratteri. Tuttavia, se desideri utilizzare un ruolo con la funzione Cambia ruolo nella console AWS Management Console, allora Path e RoleName combinati non possono superare i 64 caratteri.

Il metodo utilizzato per assumere il ruolo determina chi può assumere il ruolo e per quanto tempo la sessione del ruolo della sessione può durare. Quando utilizzi AssumeRole* Operazioni API, il ruolo IAM assunto è la risorsa. L'utente o il ruolo che chiama le operazioni API AssumeRole* è il principale.

Nella tabella seguente vengono confrontati i metodi per assumere i ruoli.

Metodo per assumere il ruolo Chi può assumere il ruolo Metodo per specificare il ciclo di vita delle credenziali Ciclo di vita delle credenziali (minimo | massimo | predefinito)
AWS Management Console Utente (mediante lo scambio di ruoli) Durata massima sessione nella pagina di riepilogo Ruolo 15 min | Impostazione durata massima sessione² | 1 ora
assume-role CLI oppure operazione API AssumeRole Utente o ruolo¹ CLI duration-seconds oppure parametro API DurationSeconds 15 min | Impostazione durata massima sessione² | 1 ora
assume-role-with-saml CLI oppure operazione API AssumeRoleWithSAML Tutti gli utenti autenticati utilizzando SAML CLI duration-seconds oppure parametro API DurationSeconds 15 min | Impostazione durata massima sessione² | 1 ora
assume-role-with-web-identity CLI oppure operazione API AssumeRoleWithWebIdentity Tutti gli utenti autenticati che utilizzano un provider OIDC CLI duration-seconds oppure parametro API DurationSeconds 15 min | Impostazione durata massima sessione² | 1 ora
Console URL creata con AssumeRole Utente o ruolo Parametro HTML SessionDuration nell'URL 15 min | 12 ore | 1 ora
Console URL creata con AssumeRoleWithSAML Tutti gli utenti autenticati utilizzando SAML Parametro HTML SessionDuration nell'URL 15 min | 12 ore | 1 ora
Console URL creata con AssumeRoleWithWebIdentity Tutti gli utenti autenticati che utilizzano un provider OIDC Parametro HTML SessionDuration nell'URL 15 min | 12 ore | 1 ora

¹ L'utilizzo delle credenziali perché un ruolo assuma un ruolo diverso viene chiamato concatenamento dei ruoli. Quando si utilizza il concatenamento dei ruoli, le nuove credenziali sono limitate a una durata massima di un'ora. Quando si utilizzano i ruoli per concedere autorizzazioni alle applicazioni eseguite su istanze EC2, tali applicazioni non sono soggette a questa limitazione.

² Questa impostazione può avere un valore compreso tra 1 ora e 12 ore. Per informazioni sulla modifica dell'impostazione della durata massima della sessione, consulta Gestione del ruolo IAM. Questa impostazione determina la durata massima della sessione che è possibile richiedere quando si ottengono le credenziali del ruolo. Ad esempio, quando si utilizzano le operazioni API AssumeRole* per assumere un ruolo, è possibile specificare una durata di sessione utilizzando il parametro DurationSeconds. Utilizzare questo parametro per specificare la durata della sessione del ruolo da 900 secondi (15 minuti) fino all'impostazione di durata massima della sessione per il ruolo. Agli utenti IAM che cambiano ruoli nella console viene concessa la durata massima della sessione o il tempo rimanente nella sessione dell'utente, a seconda di quale sia minore. Si supponga di impostare una durata massima di 5 ore su un ruolo. Un utente IAM che è stato collegato alla console per 10 ore (rispetto al valore massimo predefinito di 12) può cambiare ruolo. La durata della sessione di ruolo disponibile è di 2 ore. Per informazioni su come visualizzare il valore massimo per il ruolo, consulta Aggiornamento della durata massima della sessione per un ruolo più avanti su questa pagina.

Note
  • L'impostazione di durata massima delle sessioni non limita le sessioni assunte dai servizi AWS.

  • Le credenziali del ruolo IAM di Amazon EC2 non sono soggette alla durata massima delle sessioni configurata nel ruolo.

  • Per consentire agli utenti di assumere nuovamente il ruolo corrente all'interno di una sessione di ruolo, specifica l'ARN del ruolo oppure l'ARN dell'Account AWS come principale della policy di attendibilità del ruolo. I Servizi AWS che forniscono risorse di calcolo come Amazon EC2, Amazon ECS, Amazon EKS e Lambda forniscono credenziali temporanee e le aggiornano automaticamente. Ciò garantisce di disporre sempre di un set di credenziali valido. Per questi servizi, non è necessario riassumere il ruolo attuale per ottenere credenziali temporanee. Tuttavia, se intendi passare tag di sessione o una Policy di sessione, devi riassumere il ruolo attuale. Per sapere come modificare una policy di attendibilità dei ruoli per aggiungere il ruolo principale ARN o Account AWS consulta Aggiornamento di una policy di attendibilità del ruolo .

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.