Passare da un utente a un IAM ruolo (console) - AWS Identity and Access Management
Sessioni come ruoloConsiderazioniPer passare a un ruoloRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passare da un utente a un IAM ruolo (console)

Puoi cambiare ruolo quando accedi come IAM utente, utente in IAM Identity Center, ruolo federato o ruolo SAML federato con identità Web. Un ruolo specifica una serie di autorizzazioni che puoi utilizzare per accedere alle risorse di cui hai bisogno. AWS Tuttavia, non accedi a un ruolo, ma una volta effettuato l'accesso come IAM utente puoi passare a un IAM ruolo. Ciò consente di accantonare temporaneamente le autorizzazioni utente originali e usufruire invece delle autorizzazioni assegnate al ruolo. Il ruolo può trovarsi nel tuo account o in qualsiasi altro Account AWS. Per ulteriori informazioni sui ruoli e i relativi vantaggi e su come crearli e configurarli, consulta IAMruoli e IAMcreazione di ruoli.

Le autorizzazioni dell'utente e gli eventuali ruoli a cui passi non sono cumulativi. Un solo set di autorizzazioni è attivo alla volta. Quando passi a un ruolo, lasci temporaneamente le autorizzazioni utente e utilizzi le autorizzazioni assegnate al ruolo. Quando lasci il ruolo, le autorizzazioni utente vengono automaticamente ripristinate.

Quando cambi ruolo in AWS Management Console, la console utilizza sempre le tue credenziali originali per autorizzare il passaggio. Ad esempio, se si passa a RolEAIAM, utilizza le credenziali originali per determinare se è consentito assumere il ruolo RoLEA. Se poi si passa a RoleB mentre si utilizza RoLEA, utilizza comunque le credenziali originali per autorizzare lo switch AWS , non le credenziali per RolEA.

Nota

Quando accedi come utente in IAM Identity Center, come ruolo federato o come ruolo SAML federato per identità web, assumi un ruolo all'inizio della sessione. IAM Ad esempio, quando un utente in IAM Identity Center accede al portale di AWS accesso, deve scegliere un set di autorizzazioni correlato a un ruolo prima di poter accedere alle risorse. AWS

Sessioni come ruolo

Quando si cambia ruolo, la AWS Management Console sessione dura per impostazione predefinita 1 ora. IAMper impostazione predefinita, le sessioni utente durano 12 ore, altri utenti potrebbero avere durate di sessione diverse. Quando si cambia ruolo nella console, viene concessa la durata massima della sessione del ruolo o il tempo rimanente della sessione utente, a seconda di quale sia inferiore. Non puoi prolungare la durata della sessione assumendo un ruolo. Si supponga, ad esempio, che per un ruolo sia impostata una durata massima di sessione di 10 ore. Hai effettuato l'accesso alla console per 8 ore quando decidi di passare al ruolo. Rimangono 4 ore nella sessione utente, quindi la durata della sessione di ruolo consentita è di 4 ore, non la durata massima della sessione di 10 ore. La tabella seguente mostra come determinare la durata della sessione per un IAM utente quando cambia ruolo nella console.

IAMil tempo residuo della sessione utente è... La durata della sessione del ruolo è…
Meno della durata massima della sessione del ruolo Tempo rimanente nella sessione utente
Più della durata massima della sessione del ruolo Valore della durata massima della sessione
Uguale alla durata massima della sessione del ruolo Valore della durata massima della sessione (approssimativo)
Nota

Alcune console AWS di servizio possono rinnovare automaticamente la sessione di ruolo alla scadenza senza che l'utente intraprenda alcuna azione. Alcune potrebbero richiedere di ricaricare la pagina del browser per autenticare nuovamente la sessione.

Considerazioni

  • Non puoi cambiare ruolo se accedi come. Utente root dell'account AWS

  • Agli utenti deve essere concessa l'autorizzazione a cambiare ruolo in base alla politica. Per istruzioni, consulta Concedere a un utente le autorizzazioni per cambiare ruolo.

  • Non è possibile passare da un ruolo AWS Management Console a un ruolo che richiede un ExternalIdvalore. È possibile passare a tale ruolo solo chiamando il nome AssumeRoleAPIche supporta il ExternalId parametro.

Per passare a un ruolo

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il IAM servizio.

  3. Nella AWS Management Console, scegli il tuo nome utente nella barra di navigazione in alto a destra. Di solito ha il seguente aspetto: username@account_ID_number_or_alias.

  4. Seleziona Switch Role (Cambia ruolo).

  5. Nella pagina Switch Role (Cambia ruolo) inserisci il numero ID dell'account o l'alias dell'account e il nome del ruolo che è stato fornito dall'amministratore.

    Nota

    Se l'amministratore ha creato il ruolo con un percorso, ad esempio division_abc/subdivision_efg/roleToDoX, allora è necessario digitare tale percorso completo e il nome nella casella Role (Ruolo). Se digiti solo il nome del ruolo, oppure se il Path e il RoleName insieme superano 64 caratteri, il passaggio di ruolo fallisce. Si tratta di un limite dei cookie del browser che memorizzano il nome del ruolo. In questo caso, contatta l'amministratore e chiedi di ridurre le dimensioni del percorso e il nome del ruolo.

  6. (Facoltativo) È possibile inserire un nome visualizzato e selezionare un colore di visualizzazione che evidenzierà il ruolo nella barra di navigazione della console.

    • Per Nome visualizzato, digita il testo che desideri venga visualizzato sulla barra di navigazione al posto del nome utente quando questo ruolo è attivo. Viene suggerito un nome, in base all'account e alle informazioni del ruolo, ma è possibile modificarlo in base alle proprie esigenze.

    • Per Colore dello schermo, seleziona un colore per evidenziare il nome visualizzato.

    Il nome e il colore possono aiutarti a ricordare quando questo ruolo è attivo, ciò cambia le tue autorizzazioni. Ad esempio, per un ruolo che ti consente di accedere all'ambiente di test, puoi specificare un Nome di visualizzazione uguale a Test e selezionare il verde in Colore. Per il ruolo che ti consente di accedere all'ambiente di produzione, puoi specificare un Nome di visualizzazione uguale a Production e selezionare il rosso in Colore.

  7. Seleziona Switch Role (Cambia ruolo). Il nome di visualizzazione e il colore sostituiscono il nome utente nella barra di navigazione ed è possibile iniziare a utilizzare le autorizzazioni concesse dal ruolo.

  8. Dopo aver completato le attività che richiedono il IAM ruolo, puoi tornare alla sessione originale. In questo modo verranno rimosse le autorizzazioni aggiuntive fornite dal ruolo e verranno ripristinate le autorizzazioni standard.

    1. Nella IAM console, scegli il nome visualizzato del tuo ruolo nella barra di navigazione in alto a destra.

    2. Scegli Torna indietro.

      Ad esempio, supponiamo di aver eseguito l'accesso all'account numero 123456789012 utilizzando il nome utente RichardRoe. Dopo aver utilizzato il ruolo admin-role, si desidera interrompere l'utilizzo del ruolo e tornare alle autorizzazioni originali. Per smettere di usare il ruolo, scegli admin-role @ 123456789012, quindi scegli Torna indietro.

      Grafico che mostra la funzione Switch back per smettere di usare un IAM ruolo e tornare all'utente originale.
Suggerimento

Gli ultimi ruoli utilizzati appariranno nel menu. La prossima volta che vuoi passare a uno di questi ruoli, puoi semplicemente scegliere il ruolo che desideri. È necessario digitare manualmente le informazioni sull'account e sul ruolo solo se il ruolo non è visualizzato nel menu.

Risorse aggiuntive