Usei a API AssumeRole para assumir um perfil do AWS Identity and Access Management (IAM) usando credenciais temporárias, mas recebi um erro semelhante ao seguinte: “O DurationSeconds solicitado excede o limite de sessão de 1 hora para perfis assumidos pelo encadeamento de perfis”.
Breve descrição
Você pode usar o encadeamento de perfis para assumir um perfil com credenciais de segurança temporárias usando a AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte a seção de encadeamento de perfis dos termos e conceitos de perfis.
Observação: O encadeamento de perfis limita sua sessão de perfil da AWS CLI ou da API da AWS a no máximo uma hora e não pode ser aumentado. Para obter mais informações, consulte Termos e conceitos de perfis.
Resolução
Use as seguintes práticas recomendadas com o encadeamento de perfis:
Observação: se você receber erros ao executar comandos da AWS CLI, verifique se está utilizando a versão mais recente da AWS CLI.
- A operação falhará se o valor do parâmetro DurationSeconds para as credenciais temporárias for maior que uma hora.
- O limite de uma hora de encadeamento de perfis só se aplica à CLI ou API da AWS.
- O AWS Management Console não oferece suporte ao encadeamento de perfis. Você pode usar o recurso de troca de perfil no console para obter as credenciais temporárias de um perfil. O console usa as credenciais do IAM ou do usuário federado para mudar para outro perfil. Para obter mais informações, consulte como mudar para um perfil (console).
- Usuários da Autenticação Multifator (MFA) com a AWS CLI usam credenciais temporárias para assumir outro perfil. As credenciais temporárias usam a API AWS STS GetSessionToken e são limitadas a uma hora.
- Se o encadeamento de perfis for usado para assumir o perfil B para a mesma conta da AWS que o perfil A, atribua permissões adicionais ao perfil A para evitar o encadeamento de perfis no perfil B.
Informações relacionadas
Solução de problemas do IAM e do Amazon Elastic Compute Cloud (Amazon EC2)