Lorsque les utilisateurs tentent d'accéder à AWS Management Console à l'aide d'une URL de connexion qui spécifie un paramètre SessionDuration, un message d'erreur similaire au suivant s'affiche :

HTTP Status 400 - Invalid credentials parameter
Status Report

-        message: Invalid credentials parameter
-        description: The request sent by the client was syntactically incorrect

Cette erreur se produit dans les conditions suivantes :

  1. Des informations d'identification de sécurité temporaires erronées ont été utilisées lors de la génération du jeton de connexion spécifié pour le paramètre SigninToken de l'URL utilisée pour accéder à AWS Management Console.
  2. Vous assumez un rôle IAM à partir d'un autre rôle IAM. Par exemple, votre instance EC2 utilise son rôle IAM pour assumer un autre rôle IAM. Lorsque vous êtes déjà authentifié à l'aide des informations d'identification d'un rôle IAM et que vous appelez l'API AssumeRole d'AWS Security Token Service (AWS STS) pour obtenir des informations d'identification de sécurité temporaires pour un autre rôle, un message d'erreur « HTTP Status 400 » s'affiche si vous tentez de spécifier une valeur pour le paramètre HTTP SessionDuration HTTP. Dans un tel scénario, il est néanmoins possible d'appeler AssumeRole sans spécifier de valeur pour le paramètre SessionDuration ; la durée de session par défaut (1 heure) est alors utilisée.

Pour créer une URL de connexion pour AWS Management Console avec un paramètre SessionDuration, vérifiez les points suivants :

  1. Assurez-vous d'obtenir des informations d'identification de sécurité temporaires valides qui seront utilisées lors de la génération du jeton de connexion spécifié pour le paramètre SigninToken de l'URL utilisée pour accéder à AWS Management Console. Pour plus d'informations sur l'obtention d'informations d'identification de sécurité temporaires, consultez Obtention d'informations d'identification temporaires de sécurité, Utilisation d'informations d'identification de sécurité temporaires pour demander l'accès aux ressources AWS et Contrôle des autorisations affectées aux informations d'identification de sécurité temporaires.
  2. Envisagez de mettre en œuvre la fédération d'identité avec SAML 2.0 et suivez les étapes de la section Activation de l'accès des utilisateurs fédérés SAML 2.0 à AWS Management Console pour configurer votre fournisseur d'identité de manière à inclure un attribut d'assertion SAML appelé SessionDuration qui définit la durée de session de la console. Sinon, vous pouvez générer une URL de connexion à l'aide des informations d'identification de sécurité provenant des métadonnées d'instance du rôle IAM d'origine. Pour plus d'informations, consultez Extraction des informations d'identification de sécurité à partir des métadonnées d'instance.

IAM, fédération, SessionDuration, HTTP Status 400, AssumeRole, informations d'identification de sécurité temporaires, rôle, AWS STS


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 17/08/2016