Puis-je augmenter la limite de durée des sessions de création de chaînes de rôles IAM ?

Date de la dernière mise à jour : 16/04/2021

J'ai utilisé l'API AssumeRole pour endosser un rôle AWS Identity and Access Management (IAM) en utilisant des informations d'identification temporaires, mais j'ai reçu un message d'erreur semblable au suivant :

« The requested DurationSeconds exceeds the 1 hour session limit for roles assumed by role chaining » (La valeur de DurationSeconds demandée dépasse la limite de session d'une heure pour les rôles endossés par la création de chaînes de rôles).

Brève description

Vous pouvez utiliser la création de chaînes de rôles pour endosser un rôle avec des informations d'identification de sécurité temporaires au moyen de l'interface de ligne de commande AWS (AWS CLI). Pour plus d'informations, consultez la section Création de chaînes de rôles de l'article Termes et concepts relatifs aux rôles.

Remarque : la fonctionnalité de création de chaînes de rôles limite votre session de rôle AWS CLI ou AWS API à un maximum d'une heure, et cette durée ne peut pas être augmentée. Pour plus d'informations, consultez Termes et concepts relatifs aux rôles.

Résolution

Utilisez les bonnes pratiques suivantes en matière de création de chaînes de rôles :

Remarque : en cas d'erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (AWS CLI), vérifiez que vous utilisez la version la plus récente d'AWS CLI.

  • L'opération échoue si la valeur du paramètre DurationSeconds pour les informations d'identification temporaires est supérieure à une heure.
  • La limite d'une heure pour la création de chaînes de rôles s'applique uniquement à l'interface de ligne de commande AWS ou à l'API.
  • La Console de gestion AWS ne prend pas en charge la création de chaînes de rôles. Vous pouvez utiliser la fonction de changement de rôle dans la console pour obtenir les informations d'identification temporaires d'un rôle. La console utilise les informations d'identification de l'utilisateur IAM ou de l'utilisateur fédéré pour passer à un autre rôle. Pour plus d'informations, consultez Changement de rôle (console).
  • Les utilisateurs Multi-Factor Authentication (MFA) avec l'interface de ligne de commande AWS utilisent des informations d'identification temporaires pour endosser un autre rôle. Les informations d'identification temporaires utilisent l'API AWS STS GetSessionToken et sont limitées à une heure.
  • Si la création de chaînes de rôles est utilisée pour endosser le rôle B pour le même compte AWS que le rôle A, attribuez des autorisations supplémentaires au rôle A pour éviter la création de chaînes de rôles dans le rôle B.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?