IAM 역할 묶기 세션 시간제한을 늘릴 수 있습니까?

최종 업데이트 날짜: 2020년 6월 16일

AssumeRole API를 통해 임시 자격 증명을 사용하여 AWS Identity and Access Management(IAM) 역할을 위임하였는데 다음과 유사한 오류가 발생했습니다.

"The requested DurationSeconds exceeds the 1 hour session limit for roles assumed by role chaining".  

간략한 설명

AWS 명령줄 인터페이스(AWS CLI)에서 역할 묶기를 사용하여 임시 보안 자격 증명으로 역할을 위임할 수 있습니다. 자세한 내용은 역할 용어 및 개념역할 묶기 섹션을 참조하십시오.

해결 방법

역할 묶기의 모범 사례는 다음과 같습니다.

  • 임시 자격 증명에 대한 DurationSeconds 파라미터 값이 1시간보다 클 경우 작업이 실패합니다.
  • 역할 묶기를 1시간으로 제한하는 것은 AWS CLI 또는 API에만 적용됩니다.
  • AWS 콘솔은 역할 묶기를 지원하지 않습니다. AWS 콘솔에서 역할 전환 기능을 사용하여 역할의 임시 자격 증명을 가져올 수 있습니다. AWS 콘솔은 IAM의 자격 증명 또는 연합된 사용자를 사용하여 다른 역할로 전환합니다. 자세한 내용은 역할 전환(콘솔)을 참조하십시오.
  • AWS CLI에서 Multi-Factor Authentication(MFA) 사용자는 임시 자격 증명을 사용하여 다른 역할을 위임합니다. 임시 자격 증명은 AWS STS GetSessionToken API를 사용하며 1시간으로 제한됩니다.
  • 역할 묶기는 동일한 AWS 계정의 역할 B를 역할 A로 위임하는 데 사용할 경우, 역할 A에 권한을 부여해서 1시간 제한을 회피합니다. 다른 AWS 계정에서 역할 묶기를 사용하는 경우, 세션 시간제한은 1시간입니다.

이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?