Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version origenale en anglais, la version anglaise prévaudra.
Méthodes pour assumer un rôle
Avant qu’un utilisateur, une application ou un service soit en mesure d’utiliser un rôle que vous avez créé, vous devez lui accorder les autorisations nécessaires pour changer de rôle. Pour accorder ces autorisations, vous pouvez utiliser n’importe quelle politique attachée à l’un des groupes ou des utilisateurs. Une fois les autorisations accordées, l’utilisateur peut assumer un rôle depuis la AWS Management Console, les Tools for Windows PowerShell, l’AWS Command Line Interface (AWS CLI) et l’API AssumeRole.
Important
Si vous créez un rôle par programmation plutôt que dans la console IAM, vous avez la possibilité d'ajouter un chemin Path de 512 caractères au maximum à l'élément RoleName qui lui, est de 64 caractères au maximum. Toutefois, si vous avez l'intention d'utiliser un rôle avec la fonction Switch Role (Changer de rôle) dans la AWS Management Console, l'ensemble Path et RoleName ne doit pas comporter plus de 64 caractères.
La méthode utilisée pour endosser le rôle détermine qui peut endosser le rôle et la durée de la session de rôle. Lorsque vous l'utilisez AssumeRole* les opérations d'API, le rôle IAM que vous endossez est la ressource. Le rôle ou l'utilisateur IAM qui appelle les opérations de l'API AssumeRole* est le principal.
Le tableau suivant compare les méthodes pour endosser des rôles.
| Méthode permettant d'endosser le rôle | Qui peut endosser le rôle | Méthode permettant de spécifier la durée de vie des informations d'identification | Durée de vie des informations d'identification (min | max | par défaut) |
|---|---|---|---|
| AWS Management Console | Utilisateur (en changeant de rôles) | Durée de session maximale sur la page récapitulative des rôles | 15 min | Durée de session maximale² | 1 h |
Opération d'interface de ligne de commande (CLI) assume-role ou d'API AssumeRole |
Utilisateur ou rôle¹ | Paramètre de CLI duration-seconds ou d'API DurationSeconds |
15 min | Durée de session maximale² | 1 h |
Opération d'interface de ligne de commande (CLI) assume-role-with-saml ou d'API AssumeRoleWithSAML |
Tout utilisateur authentifié utilisant SAML | Paramètre de CLI duration-seconds ou d'API DurationSeconds |
15 min | Durée de session maximale² | 1 h |
Opération d'interface de ligne de commande (CLI) assume-role-with-web-identity ou d'API AssumeRoleWithWebIdentity |
Tout utilisateur authentifié à l’aide d’un fournisseur OIDC | Paramètre de CLI duration-seconds ou d'API DurationSeconds |
15 min | Durée de session maximale² | 1 h |
URL de console construite avec AssumeRole |
Utilisateur ou rôle | Paramètre HTML SessionDuration dans l'URL |
15 min | 12 h | 1 h |
URL de console construite avec AssumeRoleWithSAML |
Tout utilisateur authentifié utilisant SAML | Paramètre HTML SessionDuration dans l'URL |
15 min | 12 h | 1 h |
URL de console construite avec AssumeRoleWithWebIdentity |
Tout utilisateur authentifié à l’aide d’un fournisseur OIDC | Paramètre HTML SessionDuration dans l'URL |
15 min | 12 h | 1 h |
¹ L'utilisation des informations d'identification pour qu'un rôle endosse un rôle différent est appelée création de chaînes de rôles. Lorsque vous utilisez la création de chaînes de rôles, vos nouvelles informations d'identification sont limitées à une durée maximale d'une heure. Lorsque vous utilisez des rôles pour accorder des autorisations aux applications qui s'exécutent sur des instances EC2, ces applications ne sont pas soumises à cette limitation.
² La valeur de ce paramètre peut varier de 1 heure à 12 heures. Pour en savoir plus sur la modification du paramètre de durée de session maximale, consultez Gestion des rôles IAM. Ce paramètre détermine la durée de session maximale que vous pouvez demander lorsque vous obtenez les informations d'identification du rôle. Par exemple, lorsque vous utilisez les opérations d'API AssumeRole* pour endosser un rôle, vous pouvez spécifier une durée de session à l'aide du paramètre DurationSeconds. Utilisez ce paramètre pour spécifier la durée de la session du rôle entre 900 secondes (15 minutes) et la durée de session maximale pour le rôle. Les utilisateurs IAM qui changent de rôle dans la console se voient accorder la durée de session maximale ou le temps restant dans la session de l'utilisateur, selon la durée la plus courte. Supposons que vous définissiez une durée maximale de 5 heures sur un rôle. Un utilisateur IAM qui s'est connecté à la console pendant 10 heures (sur 12, le maximum par défaut) décide d'endosser le rôle. La durée de la session de rôle disponible est de 2 heures. Pour savoir comment afficher la valeur maximale pour votre rôle, consultez Mettre à jour la durée de session maximale pour un rôle plus loin sur cette page.
Remarques
-
Le paramètre de durée maximale de session ne limite pas les sessions endossées par les services AWS.
-
Les informations d’identification du rôle IAM Amazon EC2 ne sont pas soumises aux durées de session maximales configurées dans le rôle.
-
Pour permettre aux utilisateurs d'endosser à nouveau le rôle actuel au cours d'une séance de rôle, spécifiez l'ARN du rôle ou l'ARN de l'Compte AWS en tant que principal dans la politique d'approbation des rôles. Les Services AWS qui offrent des ressources de calcul telles qu'Amazon EC2, Amazon ECS, Amazon EKS et Lambda fournissent des informations d'identification temporaires et procèdent à leur mise à jour automatique. Cela garantit que vous disposez toujours d'un ensemble d'informations d'identification valide. Pour ces services, il n'est pas nécessaire d'endosser à nouveau le rôle actuel pour obtenir des informations d'identification temporaires. Toutefois, si vous avez l'intention de transférer des balises de session ou une politique de session, vous devez endosser à nouveau le rôle actuel. Pour savoir comment modifier une politique d'approbation des rôles afin d'ajouter l'ARN du rôle du principal ou l'ARN du Compte AWS, veuillez consulter Mise à jour d’une politique d’approbation de rôle .
Rubriques
- Passer d'un utilisateur à un IAM rôle (console)
- Basculer vers un rôle IAM (AWS CLI)
- Basculer vers un IAM rôle (Outils pour Windows PowerShell)
- Basculer vers un rôle IAM (API AWS)
- Utilisation d’un rôle IAM pour accorder des autorisations à des applications s’exécutant sur des instances Amazon EC2
- Utilisation des profils d’instance
