Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Metodi per assumere un ruolo
Prima che un utente, un'applicazione o un servizio possa utilizzare un ruolo creato da te, devi concedere le autorizzazioni per passare al ruolo. È possibile utilizzare qualsiasi politica associata a gruppi o utenti per concedere le autorizzazioni necessarie. Una volta concesse le autorizzazioni, l'utente può assumere un ruolo tra AWS Management Console, Tools for Windows PowerShell, AWS Command Line Interface
(AWS CLI) e. AssumeRole
API
Importante
Quando si crea un ruolo a livello di codice anziché nella IAM console, è possibile aggiungere un massimo Path
di 512 caratteri in aggiunta aRoleName
, che può contenere fino a 64 caratteri. Tuttavia, se intendete utilizzare un ruolo con la funzione Switch Role in AWS Management Console, la combinazione Path
di caratteri RoleName
non può superare i 64 caratteri.
Il metodo utilizzato per assumere il ruolo determina chi può assumere il ruolo e per quanto tempo può durare la sessione di ruolo. Quando si utilizzano AssumeRole*
API le operazioni, il IAM ruolo che si assume è quello della risorsa. L'utente o il ruolo che richiama AssumeRole*
API le operazioni è il principale.
La tabella seguente confronta i metodi per l'assunzione dei ruoli.
Metodo per assumere il ruolo | Chi può assumere il ruolo | Metodo per specificare il ciclo di vita delle credenziali | Ciclo di vita delle credenziali (minimo | massimo | predefinito) |
---|---|---|---|
AWS Management Console | Utente (mediante lo scambio di ruoli) | Durata massima sessione nella pagina di riepilogo Ruolo | 15 min | Impostazione durata massima sessione² | 1 ora |
assume-role CLIo operazione AssumeRole API |
Utente o ruolo¹ | duration-seconds CLIo DurationSeconds API parametro |
15 min | Impostazione durata massima sessione² | 1 ora |
assume-role-with-saml CLIo AssumeRoleWithSAML APIoperazione |
Qualsiasi utente autenticato tramite SAML | duration-seconds CLIo parametro DurationSeconds API |
15 min | Impostazione durata massima sessione² | 1 ora |
assume-role-with-web-identity CLIo AssumeRoleWithWebIdentity APIoperazione |
Qualsiasi utente autenticato tramite un provider OIDC | duration-seconds CLIo parametro DurationSeconds API |
15 min | Impostazione durata massima sessione² | 1 ora |
Console URL costruita con AssumeRole |
Utente o ruolo | SessionDuration HTMLparametro in URL |
15 min | 12 ore | 1 ora |
Console URL costruita con AssumeRoleWithSAML |
Qualsiasi utente autenticato tramite SAML | SessionDuration HTMLparametro in URL |
15 min | 12 ore | 1 ora |
Console URL costruita con AssumeRoleWithWebIdentity |
Qualsiasi utente autenticato tramite un provider OIDC | SessionDuration HTMLparametro in URL |
15 min | 12 ore | 1 ora |
¹ L'utilizzo delle credenziali perché un ruolo assuma un ruolo diverso viene chiamato concatenamento dei ruoli. Quando si utilizza il concatenamento dei ruoli, le nuove credenziali sono limitate a una durata massima di un'ora. Quando si utilizzano i ruoli per concedere autorizzazioni alle applicazioni eseguite su EC2 istanze, tali applicazioni non sono soggette a questa limitazione.
² Questa impostazione può avere un valore compreso tra 1 ora e 12 ore. Per informazioni sulla modifica dell'impostazione della durata massima della sessione, consulta IAMgestione dei ruoli. Questa impostazione determina la durata massima della sessione che è possibile richiedere quando si ottengono le credenziali del ruolo. Ad esempio, quando si utilizzano le AssumeRoleAPIoperazioni* per assumere un ruolo, è possibile specificare la durata della sessione utilizzando il DurationSeconds
parametro. Utilizzare questo parametro per specificare la durata della sessione del ruolo da 900 secondi (15 minuti) fino all'impostazione di durata massima della sessione per il ruolo. IAMagli utenti che cambiano ruolo nella console viene concessa la durata massima della sessione o il tempo rimanente della sessione utente, a seconda di quale sia inferiore. Si supponga di impostare una durata massima di 5 ore su un ruolo. Un IAM utente che ha effettuato l'accesso alla console per 10 ore (rispetto al massimo predefinito di 12) passa al ruolo. La durata della sessione di ruolo disponibile è di 2 ore. Per informazioni su come visualizzare il valore massimo per il ruolo, consulta Aggiornare la durata massima della sessione per un ruolo più avanti su questa pagina.
Note
-
L'impostazione di durata massima delle sessioni non limita le sessioni assunte dai servizi AWS .
-
Le credenziali del EC2 IAM ruolo Amazon non sono soggette alla durata massima delle sessioni configurata nel ruolo.
-
Per consentire agli utenti di assumere nuovamente il ruolo attuale all'interno di una sessione di ruolo, specifica il ruolo ARN o Account AWS ARN come principale nella policy di fiducia dei ruoli. Servizi AWS che forniscono risorse di elaborazione come AmazonEC2, Amazon ECSEKS, Amazon e Lambda forniscono credenziali temporanee e le aggiornano automaticamente. Ciò garantisce di disporre sempre di un set di credenziali valido. Per questi servizi, non è necessario riassumere il ruolo attuale per ottenere credenziali temporanee. Tuttavia, se intendi passare tag di sessione o una Policy di sessione, devi riassumere il ruolo attuale. Per informazioni su come modificare una policy di attendibilità dei ruoli per aggiungere il ruolo ARN principale oppure, consulta. Account AWS ARN Aggiornare una politica di attendibilità dei ruoli