我能否延长 IAM 角色串联会话持续时间限制?

上次更新时间:2020 年 6 月 16 日

我使用 AssumeRole API 通过临时凭证代入 AWS Identity and Access Management (IAM) 角色,却收到了类似以下内容的错误:

“请求的 DurationSeconds 超出了角色串联所代入角色的 1 小时会话限制”。 

简短描述

您可以使用角色串联,在 AWS 命令行界面 (AWS CLI) 中通过临时安全凭证代入角色。有关更多信息,请参见角色术语和概念中的角色串联部分。

解决方法

请通过角色串联使用以下最佳实践:

  • 如果临时凭证的 DurationSeconds 参数值大于 1 小时,则操作将失败。
  • 角色串联 1 小时限制仅适用于 AWS CLI 或 API。
  • AWS 控制台不支持角色串联。您可以使用 AWS 控制台中的切换角色功能获取角色的临时凭证。AWS 控制台使用 IAM 或联合身份用户的凭证切换到其他角色。有关更多信息,请参阅切换到角色(控制台)
  • 使用 AWS CLI 的 Multi-Factor Authentication (MFA) 用户通过临时凭证代入另一个角色。临时凭证使用 AWS STS GetSessionToken API,限制为 1 小时。
  • 如果角色串联用于为与角色 A 具有相同的 AWS 账户代入角色 B,则将权限分配给角色 A 以避免 1 小时的时间限制。如果角色串联与不同的 AWS 账户一起使用,则会话持续时间将限制为 1 小时。

Amazon EC2 和 IAM 问题排查

这篇文章对您有帮助吗?

没有

我们可以改进什么?

请告诉我们

需要更多帮助?

联系 AWS Support