


 简短描述
-----



您可以使用角色串联，在 AWS 命令行界面 (AWS CLI) 中通过[临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)代入角色。有关更多信息，请参见[角色术语和概念](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)中的 **role chaining (角色串联)** 部分。


**注意：**角色串联将您的 AWS CLI 或 AWS API 角色会话限制为最多 1 小时，且不能增加。有关详细信息，请参阅[角色术语和概念](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)。



 解决方法
-----



请通过角色串联使用以下最佳实践：


**注意：**如果在运行 AWS CLI 命令时收到错误，[请确保您使用的是最新的 AWS CLI 版本](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html)。


* 如果临时凭证的 [DurationSeconds](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html#API_AssumeRole_RequestParameters) 参数值大于 1 小时，则操作将失败。
* 角色串联 1 小时限制仅适用于 AWS CLI 或 API。
* AWS 管理控制台不支持角色串联。您可以使用控制台中的切换角色功能获取角色的临时凭证。控制台使用 IAM 或联合身份用户的凭证切换到其他角色。有关更多信息，请参阅[切换到角色（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)。
* 使用 AWS CLI 的 Multi-Factor Authentication (MFA) 用户通过临时凭证代入另一个角色。临时凭证使用 AWS STS [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) API，限制为 1 小时。
* 如果角色串联用于为与角色 A 具有相同的 AWS 账户代入角色 B，则将额外的权限分配给角色 A 以避免角色串联到角色 B。





---




 相关信息
-----



[排查 IAM 和 Amazon Elastic Compute Cloud (Amazon EC2) 问题](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_iam-ec2.html)







我使用 AssumeRole API 通过临时凭证代入 AWS Identity and Access Management (IAM) 角色，却收到了类似以下内容的错误：
“请求的 DurationSeconds 超出了角色串联所代入角色的 1 小时会话限制”。

我能否延长 IAM 角色串联会话持续时间限制？

安全、身份和合规性

为什么我在运行 AWS CLI 命令时会收到错误？

如何使用 AWS CLI 在 Route 53 中创建别名资源记录集？

如何使用 AWS CLI 在 Amazon Route 53 中创建简单的资源记录集？

如何使用 AWS CLI 代入 IAM 角色？

aws-cli list-fragments示例

AWS CLI  摆脱凭证文件

aws rds cli -- 需要在db参数组中查找特定参数

在 AWS Elasticsearch 中将字段存储而不对其进行索引的选项

aws-encryption-cli与aws kms encrypt/decrypt (aws-cli/2.9.5)的比较

我能否延长 IAM 角色串联会话持续时间限制？

简短描述

解决方法

相关信息

相关视频

相关内容