Puis-je augmenter la limite de durée de la session de création de chaînes de rôles IAM ?

Date de la dernière mise à jour : 16/06/2020

J'ai utilisé l'API AssumeRole pour assumer un rôle AWS Identity and Access Management (IAM) à l'aide d'informations d'identification temporaires et j'ai reçu une erreur similaire à ce qui suit :

« La valeur DurationSeconds demandée dépasse la limite de session d'une heure pour les rôles endossés par la création de chaînes de rôles ».  

Brève description

Vous pouvez utiliser la création de chaînes de rôles pour endosser un rôle avec des informations d'identification de sécurité temporaires au moyen de l'interface de ligne de commande AWS (AWS CLI). Pour plus d'informations, consultez la section relative à la création de chaînes de rôles dans les termes et concepts relatifs aux rôles.

Solution

Utilisez les bonnes pratiques suivantes avec la création de chaînes de rôles :

  • L'opération échoue si la valeur du paramètre DurationSeconds pour les informations d'identification temporaires est supérieure à une heure.
  • La limite d'une heure pour la création de chaînes de rôles s'applique uniquement à l'interface de ligne de commande AWS ou à l'API.
  • La console AWS ne prend pas en charge la création de chaînes de rôles. Vous pouvez utiliser la fonction de changement de rôle dans la console AWS pour obtenir les informations d'identification temporaires d'un rôle. La console AWS utilise les informations d'identification de l'utilisateur IAM ou fédéré pour passer à un autre rôle. Pour plus d'informations, consultez la section Changement de rôle (console).
  • Les utilisateurs Multi-Factor Authentication (MFA) avec l'interface de ligne de commande AWS utilisent des informations d'identification temporaires pour endosser un autre rôle. Les informations d'identification temporaires utilisent l'API AWS STS GetSessionToken et sont limitées à une heure.
  • Si la création de chaînes de rôles est utilisée pour endosser le rôle B pour le même compte AWS que le rôle A, attribuez des autorisations au rôle A pour éviter la limite d'une heure. Si la création de la chaînes de rôles est utilisée avec un autre compte AWS, la durée de session est limitée à une heure.

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?