本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當您做為 IAM 使用者、IAM Identity Center 中的使用者、SAML 聯合角色或 Web 聯合身分角色登入時,才能切換角色。角色會指定一組許可,您可以使用這些許可來存取您需要 AWS 的資源。不過,您不登入角色,但一旦以 IAM 使用者身分登入後,就可以切換到 IAM 角色。這會暫時擱置了原始使用者許可,而不是為您提供指派給該角色的許可。該角色可以在您自己的帳戶或任何其他 AWS 帳戶中。如需有關角色、其優勢以及建立方式的詳細資訊,請參閱 IAM 角色 和 IAM 角色建立。
您的使用者以及您切換到任何角色的許可都不會累計。每次只有一組許可是作用中。當您切換角色時,您會暫時放棄使用者許可並使用指派給該角色的許可。當您退出角色後,您的使用者許可會自動恢復。
當您在 中切換角色時 AWS Management Console,主控台一律會使用原始登入資料來授權切換。例如,如果您切換到 RoleA,IAM 會使用您的原始憑證確定是否允許您擔任 RoleA。如果您接著在使用 RoleA RoleA 時切換到 RoleB, AWS 仍然會使用原始登入資料來授權切換,而不是 RoleA 的登入資料。
注意
以 IAM Identity Center 中的使用者、SAML 聯合角色或 Web 聯合身分角色登入時,您將在啟動工作階段時擔任 IAM 角色。例如,當 IAM Identity Center 中的使用者登入 AWS 存取入口網站時,他們必須先選擇與角色相關聯的許可集,才能存取 AWS 資源。
角色工作階段
當您切換角色時,您的 AWS Management Console 工作階段預設會持續 1 小時。IAM 使用者工作階段預設為 12 小時,其他使用者可能已定義不同的工作階段持續時間。在主控台中切換角色時,您會被授予角色工作階段持續時間上限或使用者工作階段中的剩餘時間 (以較短者為準)。您無法透過擔任角色來延長工作階段持續時間。例如,假設為角色設定的最大工作階段持續時間為 10 小時。您決定切換至該角色時,已登入主控台 8 小時。使用者工作階段還剩餘 4 小時,因此允許的角色工作階段持續時間為 4 小時,而不是工作階段持續時間上限 10 小時。下表顯示在主控台中切換角色時如何判斷 IAM 使用者的工作階段持續時間。
| IAM 使用者工作階段剩餘時間為... | 角色工作階段持續時間為… |
|---|---|
| 小於角色最大工作階段持續時間 | 使用者工作階段中的剩餘時間 |
| 大於角色最大工作階段持續時間 | 最大工作階段持續時間值 |
| 等於角色最大工作階段持續時間 | 最大工作階段持續時間值 (近似值) |
注意
有些 AWS 服務主控台可以在角色工作階段過期時自動續約,而不需您採取任何動作。有些主控台可能會提示您重新載入瀏覽器頁面以重新驗證您的工作階段。
考量事項
-
如果您以 身分登入,則無法切換角色 AWS 帳戶根使用者。
-
必須授予使用者依政策切換角色的許可。如需說明,請參閱 向使用者授予切換角色的許可。
-
您無法將 中的角色切換 AWS Management Console 為需要 ExternalId 值的角色。您只能透過呼叫支援
ExternalId參數的AssumeRoleAPI 來切換到此類角色。
若要切換至角色
-
按照《AWS 登入使用者指南》如何登入 AWS 主題中適合您使用者類型的登入程序操作。
-
在主控台首頁上選取 IAM 服務。
-
在 中 AWS Management Console,選擇右上角導覽列上的使用者名稱。它通常如下:
username@account_ID_number_or_alias。 -
選取下列其中一個方法來切換角色:
-
選擇 Switch Role (切換角色)。
-
如果您已選擇加入多工作階段支援,請選擇新增工作階段,然後選擇切換角色。
注意
您可以在 的單一 Web 瀏覽器中同時登入最多五個不同的身分 AWS Management Console。如需詳細資訊,請參閱 AWS Management Console 入門指南中的登入多個帳戶。
-
-
在 Switch Role (切換角色) 頁面上,輸入帳戶 ID 號碼或帳戶別名以及管理員提供的角色名稱。
注意
如果管理員已使用路徑 (例如
division_abc/subdivision_efg/roleToDoX) 建立角色,則必須在 Role (角色) )方塊中輸入該完整路徑和名稱。如果僅輸入角色名稱,或者組合的Path和RoleName超過 64 個字元,則角色切換失敗。這是存放角色名稱的瀏覽器 cookie 的限制。如果發生這種情況,請聯絡您的管理員,並要求他們減小路徑和角色名稱的大小。 -
(選用) 您可以輸入顯示名稱,然後選取在主控台導覽列中反白顯示角色的顯示顏色。
-
針對顯示名稱,輸入您要在此角色作用中時顯示在導覽列上的文字,以取代使用者名稱。根據帳戶和角色資訊建議使用名稱,但您可以將其變更為對您有意義的任何名稱。
-
針對顯示顏色,選取顏色以反白顯示顯示名稱。
名稱和顏色有助於在此角色處於作用中時提醒您,這會變更您的許可。例如,對於允許您存取測試環境的角色,您可以指定
Test的 Display name (顯示名稱) 並在 Color (顏色)中選擇綠色。對於允許您存取生產的角色,您可以指定Production的 Display name (顯示名稱) 並在 Color (顏色)中選擇紅色。 -
-
選擇 Switch Role (切換角色)。顯示名稱和顏色將替換導覽列上的使用者名稱,您可以開始使用該角色授予您的許可。
-
完成需要 IAM 角色的任務後,您可以切換回原始工作階段。這將移除角色提供的額外許可,並讓您返回標準許可。
-
在 IAM 主控台中,選擇導覽列右上角的角色 Display Name (顯示名稱)。
-
選擇切換回。
例如,假設您使用使用者名稱
123456789012登入到帳戶編號RichardRoe。使用過admin-role角色後,您想要停止使用該角色並傳回您的原始許可。若要停止使用角色,請選擇 admin-role @ 123456789012,然後選擇切換回。
-
提示
您使用的最後幾個角色會顯示在選單。下次想要切換到其中一個角色時,您只需選擇所需的角色。如果角色未顯示在功能表上,則只需手動鍵入帳戶和角色資訊。
其他資源
