Puis-je augmenter la limite de durée de la session de création de chaînes de rôles IAM ?

Dernière mise à jour : 09/12/2020

J'ai utilisé l'API AssumeRole pour assumer un rôle AWS Identity and Access Management (IAM) en utilisant des informations d'identification temporaires, et j'ai reçu une erreur similaire à la suivante :

« The requested DurationSeconds exceeds the 1 hour session limit for roles assumed by role chaining » (La valeur de DurationSeconds demandée dépasse la limite de session d'une heure pour les rôles endossés par la création de chaînes de rôles).

Brève description

Vous pouvez utiliser la création de chaînes de rôles pour endosser un rôle avec des informations d'identification de sécurité temporaires au moyen de l'interface de ligne de commande AWS (AWS CLI). Pour plus d'informations, consultez la section relative à la création de chaînes de rôles dans les termes et concepts relatifs aux rôles.

Solution

Utilisez les bonnes pratiques suivantes en matière de création de chaînes de rôles :

Remarque : Si vous recevez des erreurs lors de l'exécution de commandes AWS CLI, vérifiez que vous utilisez la version la plus récente d'AWS CLI.

  • L'opération échoue si la valeur du paramètre DurationSeconds pour les informations d'identification temporaires est supérieure à une heure.
  • La limite d'une heure pour la création de chaînes de rôles s'applique uniquement à l'interface de ligne de commande AWS ou à l'API.
  • La console AWS ne prend pas en charge la création de chaînes de rôles. Vous pouvez utiliser la fonction de changement de rôle dans la console AWS pour obtenir les informations d'identification temporaires d'un rôle. La console AWS utilise les informations d'identification de l'utilisateur IAM ou fédéré pour passer à un autre rôle. Pour plus d'informations, consultez la section Changement de rôle (console).
  • Les utilisateurs Multi-Factor Authentication (MFA) avec l'interface de ligne de commande AWS utilisent des informations d'identification temporaires pour endosser un autre rôle. Les informations d'identification temporaires utilisent l'API AWS STS GetSessionToken et sont limitées à une heure.
  • Si la création de chaînes de rôles est utilisée pour endosser le rôle B pour le même compte AWS que le rôle A, attribuez des autorisations au rôle A pour éviter la limite d'une heure. Si la création de chaînes de rôles est utilisée avec un autre compte AWS, la durée de session est limitée à une heure.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?