使用 IAM 角色 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 IAM 角色

您必须先对用户授予切换到您创建的角色的权限,然后 IAM 用户、应用程序或服务才能使用该角色。您可使用附加到 IAM 用户组之一或用户本身的任何策略来授予所需权限。本部分描述如何授予用户使用角色的权限。它还解释了用户如何从 Amazon Web Services Management Console、Tools for Windows PowerShell、Amazon Command Line Interface (Amazon CLI) 和 AssumeRole API 切换到角色。

重要

当您以编程方式而不是在 IAM 控制台中创建角色,则除最长可达 64 个字符的 RoleName 外,您还可以选择添加最长 512 个字符的 Path。不过,如果您打算通过 Amazon Web Services Management Console 中的 Switch Role(切换角色)功能使用角色,则组合的 PathRoleName 不能超过 64 个字符。

您可以从 Amazon Web Services Management Console中切换角色。您可以调用 Amazon CLI 或 API 操作或使用自定义 URL 以担任角色。您使用的方法决定了谁可以担任该角色,以及角色会话可以持续多长时间。

比较使用角色的方法
担任角色的方法 谁可以担任角色 用于指定凭证生命周期的方法 凭证生命周期 (最小值 | 最大值 | 默认值)
Amazon Web Services Management Console IAM 用户(通过切换角色 Role(角色)“Summary(摘要)”页面上的 Maximum session duration(最长会话持续时间) 1 小时 | 最大会话持续时间设置² | 1 小时
assume-role CLI 或 AssumeRole API 操作 IAM 用户或角色¹ duration-seconds CLI 或 DurationSeconds API 参数 15 分 | 最大会话持续时间设置² | 1 小时
assume-role-with-saml CLI 或 AssumeRoleWithSAML API 操作 使用 SAML 验证的任何用户 duration-seconds CLI 或 DurationSeconds API 参数 15 分 | 最大会话持续时间设置² | 1 小时
assume-role-with-web-identity CLI 或 AssumeRoleWithWebIdentity API 操作 使用 Web 身份提供商验证的任何用户 duration-seconds CLI 或 DurationSeconds API 参数 15 分 | 最大会话持续时间设置² | 1 小时
使用 构造的控制台 URLAssumeRole IAM 用户或角色 SessionDurationURL 中的 HTML 参数 15 分钟 | 12 小时 | 1 小时
使用 构造的控制台 URLAssumeRoleWithSAML 使用 SAML 验证的任何用户 SessionDurationURL 中的 HTML 参数 15 分钟 | 12 小时 | 1 小时
使用 构造的控制台 URLAssumeRoleWithWebIdentity 使用 Web 身份提供商验证的任何用户 SessionDurationURL 中的 HTML 参数 15 分钟 | 12 小时 | 1 小时

¹ 使用一个角色的凭证担任其他角色称为 role chaining(角色链)。在使用角色链时,新凭证的最大持续时间限制为 1 小时。当您使用角色向 EC2 实例上运行的应用程序授予权限时,则这些应用程序不受制于此限制。

² 该设置可以具有 1 小时到 12 小时之间的值。有关修改最大会话持续时间设置的详细信息,请参阅 修改角色。该设置确定在获取角色凭证时可请求的最大会话持续时间。例如,在使用 AssumeRole* API 操作担任角色时,您可以使用 DurationSeconds 参数指定会话长度。可以使用该参数指定 900 秒(15 分钟)到角色的最大会话持续时间设置之间的角色会话长度。在控制台内切换角色的 IAM 用户被授予最大会话持续时间或 IAM 用户会话中的剩余时间(以较少者为准)。假定您在角色上设置 5 小时的最大持续时间。已登录到控制台 10 小时(默认最多 12 小时)的 IAM 用户切换到该角色。可用角色会话持续时间为 2 小时。要了解如何查看您的角色的最大值,请参阅本页后面的查看角色的最大会话持续时间设置

注意

最大会话持续时间设置不限制 Amazon 服务建立的会话。

查看角色的最大会话持续时间设置

您可以使用 Amazon Web Services Management Console 或通过使用 Amazon CLI 或者 Amazon API 来指定角色的最大会话持续时长。在使用 Amazon CLI 或 API 操作代入角色时,您可以为 DurationSeconds 参数指定一个值。您可以使用该参数指定 900 秒(15 分钟)到角色的最大会话持续时间设置之间的角色会话持续时间。在指定该参数之前,应查看您的角色的该设置。如果指定的 DurationSeconds 参数值高于最大设置,操作将失败。

查看角色的最大会话持续时间(控制台)

  1. 在 IAM 控制台的导航窗格中,选择角色

  2. 选择要查看的角色的名称。

  3. Maximum session duration(最长会话持续时间)旁,查看为角色授予的最大会话长度。这是您可以在您的 Amazon CLI 或 API 操作中指定的最长会话持续时间。

查看角色的最大会话持续时间设置 (Amazon CLI)

  1. 如果您不知道要承担的角色名称,请运行以下命令列出账户中的角色:

  2. 要查看角色的最大会话持续时间,请运行以下命令。然后,查看最大会话持续时间参数。

查看角色的最大会话持续时间设置 (Amazon API)

  1. 如果您不知道要承担的角色名称,请调用以下操作以列出账户中的角色:

  2. 要查看角色的最大会话持续时间,请运行以下操作。然后,查看最大会话持续时间参数。