假定角色的方法 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

假定角色的方法

在使用者、應用程式或服務可以使用您建立的角色之前,您必須授與切換至角色的權限。您可以使用任何附加至群組或使用者的原則來授與必要的權限。授與權限之後,使用者可以擔任 Windows 工具 PowerShell、 AWS Command Line Interface (AWS CLI) 和 AssumeRoleAPI. AWS Management Console

重要

當您以程式設計方式建立角色而不是在IAM主控台中建立角色時,除了可以新增最多 512 個字元的字元RoleName,長度最多可達 64 個字元。Path但是,如果您打算在中使用具有「切換角色」功能的角色 AWS Management Console,則合併PathRoleName不能超過 64 個字元。

用來假定角色的方法決定誰可以擔任該角色,以及角色工作階段可以持續多久。使用AssumeRole*API作業時,您假設的IAM角色即為資源。呼叫AssumeRole*API作業的使用者或角色是主體。

下表比較假設角色的方法。

擔任角色的方法 誰可以擔任這個角色 指定憑證生命週期的方法 憑證存留期 (最小 | 最大 | 預設)
AWS Management Console 使用者 (透過切換角色) Role (角色) 摘要頁面上的 Maximum session duration (最大工作階段持續時間) 15 分鐘 | 最大工作階段持續時間設定² | 1 小時
assume-roleCLI或AssumeRoleAPI操作 使用者或角色¹ duration-secondsCLI或DurationSecondsAPI參數 15 分鐘 | 最大工作階段持續時間設定² | 1 小時
assume-role-with-samlCLI或AssumeRoleWithSAMLAPI操作 任何使用者驗證 SAML duration-secondsCLI或DurationSecondsAPI參數 15 分鐘 | 最大工作階段持續時間設定² | 1 小時
assume-role-with-web-identityCLI或AssumeRoleWithWebIdentityAPI操作 使用OIDC提供者驗證的任何使用者 duration-secondsCLI或DurationSecondsAPI參數 15 分鐘 | 最大工作階段持續時間設定² | 1 小時
控制台URL構造 AssumeRole 使用者或角色 SessionDurationHTML「」中的參數 URL 15 分鐘 | 12 小時 | 1 小時
控制台URL構造 AssumeRoleWithSAML 任何使用者驗證 SAML SessionDurationHTML「」中的參數 URL 15 分鐘 | 12 小時 | 1 小時
控制台URL構造 AssumeRoleWithWebIdentity 使用OIDC提供者驗證的任何使用者 SessionDurationHTML「」中的參數 URL 15 分鐘 | 12 小時 | 1 小時

¹ 使用一個角色的憑證來擔任不同的角色稱為角色鏈結。當您使用角色鏈結時,新憑證的最大持續時間限制為一小時。當您使用角色授與權限給在執行EC2個體上執行的應用程式時,這些應用程式不受此限制。

² 此設定的值可介於 1 小時至 12 小時。有關修改最大工作階段持續時間設定的詳細資訊,請參閱 IAM 角色管理。此設定決定取得角色憑證時可以請求的最大工作階段持續時間。例如,當您使用 AssumeRole* API 操作擔任角色時,您可以使用DurationSeconds參數指定工作階段長度。使用此參數指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段長度。IAM在主控台中切換角色的使用者會被授與最長工作階段持續時間,或其使用者工作階段的剩餘時間 (以較少者為準)。假設您在角色上設定 5 小時的最大持續時間。已IAM登入主控台 10 小時 (預設最多 12 個小時) 的使用者會切換至角色。可用的角色工作階段持續時間為 2 小時。如要了解如何查看角色的最大值,請參閱本頁後述的 更新角色的工作階段持續時間上限

備註
  • 工作階段持續時間設定上限不會限制由 AWS 服務擔任的工作階段。

  • Amazon EC2 IAM 角色登入資料不受該角色中設定的最長工作階段持續時間限制。

  • 若要允許使用者在角色工作階段中再次擔任目前的角色,請在角色信任原則中指定角色ARN或作 AWS 帳戶 ARN為主參與者。 AWS 服務 提供 Amazon EC2、Amazon、Amazon ECS 和 Lambda 等運算資源提供臨時登入資料EKS,並自動更新這些登入資料。此可確保您始終擁有一組有效的憑證。對於這些服務,不需要再次擔任目前的角色即可取得臨時憑證。但是,如果您想要傳遞工作階段標籤或一個工作階段政策,則需要再次擔任目前的角色。若要了解如何修改角色信任原則以新增主參與ARN者角色 AWS 帳戶 ARN,或請參閱更新角色信任原則