我能否延长 IAM 角色串联会话持续时间限制？

上次更新日期：2021 年 4 月 16 日

您可以使用角色串联，在 AWS 命令行界面 (AWS CLI) 中通过临时安全凭证代入角色。有关更多信息，请参见角色术语和概念中的 role chaining (角色串联) 部分。

注意：角色串联将您的 AWS CLI 或 AWS API 角色会话限制为最多 1 小时，且不能增加。有关详细信息，请参阅角色术语和概念。

请通过角色串联使用以下最佳实践：

注意：如果在运行 AWS CLI 命令时收到错误，请确保您使用的是最新的 AWS CLI 版本。

• 如果临时凭证的 DurationSeconds 参数值大于 1 小时，则操作将失败。
• 角色串联 1 小时限制仅适用于 AWS CLI 或 API。
• AWS 管理控制台不支持角色串联。您可以使用控制台中的切换角色功能获取角色的临时凭证。控制台使用 IAM 或联合身份用户的凭证切换到其他角色。有关更多信息，请参阅切换到角色（控制台）。
• 使用 AWS CLI 的 Multi-Factor Authentication (MFA) 用户通过临时凭证代入另一个角色。临时凭证使用 AWS STS GetSessionToken API，限制为 1 小时。
• 如果角色串联用于为与角色 A 具有相同的 AWS 账户代入角色 B，则将权限分配给角色 A 以避免 1 小时的时间限制。如果角色串联与不同的 AWS 账户一起使用，则会话持续时间将限制为 1 小时。