IAM ロールの連鎖セッションで有効期間の制限を引き上げることはできますか?

最終更新日: 2021 年 4 月 16 日

AssumeRole API を通じて、一時的な認証情報を使用している AWS Identity and Access Management (IAM) ロールを継承しましたが、次のようなエラーを受け取りました:

「リクエストされた DurationSeconds は、ロールの連鎖による継承での 1 時間のセッション制限を超えています」。

簡単な説明

AWS コマンドラインインターフェイス (AWS CLI) を使用すると、一時的なセキュリティ認証情報によるロールの連鎖を使用したロールの継承が行えます。詳細については、ロールに関する用語と概念ロールの連鎖のセクションをご参照ください。

注: ロールの連鎖では、AWS CLI または AWS API ロールセッションが最大 1 時間に制限され、引き上げることはできません。詳細については、ロールの用語と概念をご参照ください。

解決方法

ロールの連鎖では、以下のベストプラクティスを使用します。

注: AWS CLI コマンドの実行時にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください

  • 一時的な認証情報において DurationSeconds パラメータの値が 1 時間を超過している場合、オペレーションは失敗します。
  • ロールの連鎖に関する 1 時間の制限は、AWS CLI または API にのみ適用されます。
  • AWS マネジメントコンソールでは、ロールの連鎖をサポートしていません。ロールの一時的な認証情報は、コンソールのロールの切り替え機能を使用することで取得できます。コンソールは、別ロールへの切り替えに、IAM またはフェデレーテッドユーザーの認証情報を使用します。詳細については、ロールの切り替え (コンソール) をご参照ください。
  • AWS CLI で Multi-Factor Authentication (MFA) を使用するユーザーは、別ロールの継承に一時的な認証情報を使用します。一時的な認証情報は AWS STS の GetSessionToken API を使用しており、1 時間の制限があります。
  • ロールの連鎖を使用してロール A と同じ AWS アカウントのロール B を引き受ける場合は、ロール A に追加の許可を割り当てて、ロール B へのロールの連鎖を回避します。

この記事はお役に立ちましたか?


請求に関するサポートまたは技術的なサポートが必要ですか?