切換到角色 (主控台) - AWS Identity and Access Management
在主控台中切換角色的注意事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

切換到角色 (主控台)

「角色」指定一組許可,您可以使用它來存取所需的 AWS 資源。從這個意義上說,類似於 AWS Identity and Access Management中的使用者 (IAM)。當您以使用者身分登入時,您將取得一組特定的許可。不過,您不登入角色,但一旦登入後就可以切換角色。這會暫時擱置了原始使用者許可,而不是為您提供指派給該角色的許可。該角色可以在您自己的帳戶或任何其他 AWS 帳戶中。如需有關角色、其優勢以及建立方式的詳細資訊,請參閱 IAM 角色建立 IAM 角色

重要

您的使用者以及您切換到任何角色的許可都不會累計。每次只有一組許可是作用中。當您切換角色時,您會暫時放棄使用者許可並使用指派給該角色的許可。當您退出角色後,您的使用者許可會自動恢復。

當您在中切換角色時 AWS Management Console,主控台一律會使用您的原始認證來授權交換器。無論您作為 IAM 使用者、IAM Identity Center 中的使用者、SAML 聯合角色還是 Web 聯合身分角色登入,上述情形均適用。例如,如果您切換到 RoleA,IAM 會使用您的原始使用者或聯合角色憑證確定是否允許您擔任 RoleA。如果您接著在使用 RoleA 時切換至 RoleB, AWS 仍會使用原始使用者或同盟角色認證來授權交換器,而不是 RoleA 的認證。

在主控台中切換角色的注意事項

本節提供有關使用 IAM 主控台切換為角色的其他資訊。

備註:

  • 如果您以「」的身分登入,則無法切換角色 AWS 帳戶根使用者。當您做為 IAM 使用者、IAM Identity Center 中的使用者、SAML 聯合角色或 Web 聯合身分角色登入時,才能切換角色。

  • 您無法將中的角色切換 AWS Management Console 到需要ExternalId值的角色。您只能透過呼叫支援 ExternalId 參數的 AssumeRole API 來切換到此類角色。

  • 如果管理員為您提供連結,請選擇該連結,然後在以下程序中跳至步驟 步驟 5。該連結將您帶到適當的網頁,並填入帳戶 ID (或別名) 和角色名稱。

  • 您可以手動建構連結,然後在以下程序中跳到步驟 步驟 5。若要建構您的連結,請使用以下格式:

    https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display

    在這裡取代以下文字:

    • account_id_number – 管理員提供給您的 12 位數的帳戶識別符。或者,您的管理員可能會建立帳戶別名,以便該網址包含您的帳戶名稱而不是帳戶 ID。如需詳細資訊,請參閱《AWS 登入 使用者指南》 中的使用者類型

    • role_name – 您要擔任的角色名稱。您可以從角色的 ARN 結束時取得這個。例如,從以下角色 ARN 提供 TestRole 角色名稱: arn:aws:iam::123456789012:role/TestRole

    • (選用) text_to_display – 當此角色處於作用中時,您希望在導覽列上顯示的文字代替您的使用者名稱。

  • 您可以使用管理員提供的資訊手動切換角色,方法如下。您可以使用管理員提供的信息通過以下步驟手動切換角色。

根據預設,當您切換角色時, AWS Management Console 工作階段會持續 1 小時。IAM 使用者工作階段預設為 12 小時。在主控台中切換角色的 IAM 使用者會被授予角色最長工作階段持續時間或使用者工作階段中的剩餘時間,以較短者為準。例如,假設為角色設定的最大工作階段持續時間為 10 小時。IAM 使用者決定切換至角色時已登入主控台 8 小時。使用者工作階段還剩餘 4 小時,因此允許的角色工作階段持續時間為 4 小時。下表顯示在主控台中切換角色時如何判斷 IAM 使用者的工作階段持續時間。

IAM 使用者主控台角色工作階段持續時間
IAM 使用者工作階段剩餘時間為... 角色工作階段持續時間為…
小於角色最大工作階段持續時間 使用者工作階段中的剩餘時間
大於角色最大工作階段持續時間 最大工作階段持續時間值
等於角色最大工作階段持續時間 最大工作階段持續時間值 (近似值)
注意

有些 AWS 服務主控台可以在您的角色工作階段到期時自動續約,而無需您採取任何動作。有些主控台可能會提示您重新載入瀏覽器頁面以重新驗證您的工作階段。

若要排除您在擔任角色時可能遇到的常見問題,請參閱 我無法擔任角色

切換到角色 (主控台)

  1. 以 IAM 使用者身分登入,然後在 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。 AWS Management Console

  2. 在 IAM 主控台中,在右上角的導覽列中選擇您的使用者名稱。它通常如下:username@account_ID_number_or_alias

  3. 選擇 Switch Role (切換角色)。如果這是第一次選擇此選項,則頁面會顯示更多資訊。讀取後,選擇 Switch Role (切換角色)。如果清除瀏覽器 cookie,則此頁面可以再次顯示

  4. Switch Role (切換角色) 頁面上,輸入帳戶 ID 號碼或帳戶別名以及管理員提供的角色名稱。

    注意

    如果管理員已使用路徑 (例如 division_abc/subdivision_efg/roleToDoX) 建立角色,則必須在 Role (角色) )方塊中輸入該完整路徑和名稱。如果僅輸入角色名稱,或者組合的 PathRoleName 超過 64 個字元,則角色切換失敗。這是存放角色名稱的瀏覽器 cookie 的限制。如果發生這種情況,請聯絡您的管理員,並要求他們減小路徑和角色名稱的大小。

  5. (選用) 選擇 Display name (顯示名稱)。當此角色處於作用中時,輸入要在導覽列上顯示的文字代替您的使用者名稱。根據帳戶和角色資訊建議使用名稱,但您可以將其變更為對您有意義的任何名稱。您也可以選擇顏色反白顯示名稱。名稱和顏色有助於在此角色處於作用中時提醒您,這會變更您的許可。例如,對於允許您存取測試環境的角色,您可以指定 TestDisplay name (顯示名稱) 並在 Color (顏色)中選擇綠色。對於允許您存取生產的角色,您可以指定 ProductionDisplay name (顯示名稱) 並在 Color (顏色)中選擇紅色。

  6. 選擇 Switch Role (切換角色)。顯示名稱和顏色將替換導覽列上的使用者名稱,您可以開始使用該角色授予您的許可。

秘訣

您使用的最後幾個角色會顯示在選單。下次需要切換到其中一個角色時,您只需選擇所需的角色。如果角色未顯示在選單上,則只需手動輸入帳戶和角色資訊。

要停止使用角色 (主控台)

  1. 在 IAM 主控台中,選擇導覽列右上角的角色 Display Name (顯示名稱)。它通常如下:rolename@account_ID_number_or_alias

  2. 選擇返回使用者名稱。停用角色及其許可,並自動恢復與 IAM 使用者和群組關聯的許可。

    例如,假設您使用使用者名稱 123456789012 登入到帳戶編號 RichardRoe。使用過 AdminRole 角色後,您想要停止使用該角色並傳回您的原始許可。若要停止使用角色,請選擇 AdminRole @ 123456789012,然後選擇 [返回至]。 RichardRoe

    理查德·羅伊停止使用 AdminRole 角色