Puis-je augmenter la limite de durée des sessions de création de chaînes de rôles IAM ?

Lecture de 3 minute(s)

J'ai utilisé l'API AssumeRole pour endosser un rôle AWS Identity and Access Management (IAM) en utilisant des informations d'identification temporaires, mais j'ai reçu un message d'erreur semblable au suivant : « The requested DurationSeconds exceeds the 1 hour session limit for roles assumed by role chaining » (La valeur de DurationSeconds demandée dépasse la limite de session d'une heure pour les rôles endossés par la création de chaînes de rôles).

Brève description

Vous pouvez utiliser la création de chaînes de rôles pour endosser un rôle avec des informations d'identification de sécurité temporaires au moyen de l'interface de ligne de commande AWS (AWS CLI). Pour plus d'informations, consultez la section Création de chaînes de rôles de l'article Termes et concepts relatifs aux rôles.

Remarque : la fonctionnalité de création de chaînes de rôles limite votre session de rôle AWS CLI ou AWS API à un maximum d'une heure, et cette durée ne peut pas être augmentée. Pour plus d'informations, consultez Termes et concepts relatifs aux rôles.

Résolution

Utilisez les bonnes pratiques suivantes en matière de création de chaînes de rôles :

Remarque : en cas d'erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (AWS CLI), vérifiez que vous utilisez la version la plus récente d'AWS CLI.

L'opération échoue si la valeur du paramètre DurationSeconds pour les informations d'identification temporaires est supérieure à une heure.
La limite d'une heure pour la création de chaînes de rôles s'applique uniquement à l'interface de ligne de commande AWS ou à l'API.
La Console de gestion AWS ne prend pas en charge la création de chaînes de rôles. Vous pouvez utiliser la fonction de changement de rôle dans la console pour obtenir les informations d'identification temporaires d'un rôle. La console utilise les informations d'identification de l'utilisateur IAM ou de l'utilisateur fédéré pour passer à un autre rôle. Pour plus d'informations, consultez Changement de rôle (console).
Les utilisateurs Multi-Factor Authentication (MFA) avec l'interface de ligne de commande AWS utilisent des informations d'identification temporaires pour endosser un autre rôle. Les informations d'identification temporaires utilisent l'API AWS STS GetSessionToken et sont limitées à une heure.
Si la création de chaînes de rôles est utilisée pour endosser le rôle B pour le même compte AWS que le rôle A, attribuez des autorisations supplémentaires au rôle A pour éviter la création de chaînes de rôles dans le rôle B.

Informations connexes

Résolution des problèmes liés à IAM et Amazon Elastic Compute Cloud (Amazon EC2)

Sujets

Sécurité, identité et conformité

Balises

AWS Identity and Access Management

Langue

Français

Vidéos associées

Regarder la vidéo d'Ashmeet pour en savoir plus (5:53)

AWS OFFICIELA mis à jour il y a 3 ans

Aucun commentaire

Contenus pertinents

Impossible d'afficher la page de modification WAF sur une distribution Cloudfront
Réponse acceptée
Adesin
demandé il y a 7 mois
Création image AMI fait passer instance EC2 en erreur
Erwan
demandé il y a un an
Échec création de base de données Neptune sur AWS
jjso
demandé il y a 8 mois
problème de placement de sous titres lors de la création de fichier dans MEDIACONVERT
rePost-User-0874367
demandé il y a un an
Création de tables SQL
yannick
demandé il y a 8 mois
Comment puis-je augmenter la longueur maximale des chaînes de requêtes dans Amazon Athena ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment fournir un accès à d'autres utilisateurs et rôles IAM après la création d'un cluster dans Amazon EKS ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je résoudre l'erreur IAM « Taille maximale de la politique de xxxxx octets dépassée pour l'utilisateur ou le rôle. » ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je endosser un rôle IAM à l’aide de l’AWS CLI ?
AWS OFFICIELA mis à jour il y a 2 ans