切换角色(被委托方操作)
当其他账号与您的账号创建了信任委托关系,即您的账号是被委托方,您的账号根用户以及分配了信任委托权限的IAM用户,可以切换角色至委托方账号中,根据权限管理委托方的资源。
前提条件
- 已有账号与您的账号创建了信任委托关系。
- 您已经获取到委托方的账号名称及所创建的委托名称。
操作步骤
- 使用账号或者上一步步骤2中新建的用户登录华为云。
- 鼠标移动至右上方的用户名,选择“切换角色>切换其他角色”。
图1 切换角色
- 在“切换角色”页面中,输入委托方的账号名称。
图2 输入委托方的账号名称、委托名称
如果输入的是没有授权的委托名称,系统将提示您没有权限访问。
- 单击“确定”,切换至委托方账号中。
后续步骤
鼠标移动至右上角的用户名,选择“切换角色”,可以返回到您自己的账号中。
控制台切换委托和API切换委托的差异点
|
切换信任委托的方法 |
谁能够切换信任委托 |
凭证有效期 |
|---|---|---|
|
控制台 |
账号根用户、IAM用户 |
在控制台中切换信任委托后,凭证会自动续期,您无需关注您的凭证有效期,只需要关注会话有效期,您切换信任委托后的会话有效期受限于委托方账号中的会话超时策略。例如,委托方账号中设置的会话超时策略为:用户在1小时内没有操作,则退出当前账号。那么,在您切换信任委托后1小时内没有在控制台进行任何操作,就会被强制退出该会话。 |
|
AssumeAgency API |
账号根用户、IAM用户、信任委托 |
在通过AssumeAgency API切换信任委托时,获取的凭证称为临时安全凭证,其有效期受该API的duration_seconds参数、信任委托本身设置的最大会话持续时间、以及是否为委托链调用等多种因素影响。duration_seconds参数取值范围为[900, 43200]秒,默认为3600秒,它需要小于信任委托本身设置的最大会话持续时间,如果超过最大会话持续时间则会报错。同时通过委托链调用时duration_seconds参数不能超过3600秒。 |
委托链指先通过账号根用户或IAM用户身份调用AssumeAgency API获得信任委托A的临时安全凭证,再使用该信任委托A的临时安全凭证调用AssumeAgency API获得信任委托B的临时安全凭证。临时安全凭证包含临时AK/SK和会话令牌(AK/SK/SecurityToken),使用临时安全凭证调AssumeAgency API时,会比使用账号根用户和IAM用户的永久AK/SK调用多传递X-Security-Token的Header头。想要了解临时安全凭证的更多信息,见获取临时安全凭证。
