

# Métodos para assumir um perfil
<a name="id_roles_manage-assume"></a>

Para que um usuário, uma aplicação ou um serviço possa usar um perfil que você criou, você deverá [conceder permissões para alternar](id_roles_use_permissions-to-switch.md) para esse perfil. É possível usar qualquer política anexada a grupos ou usuários para conceder as permissões necessárias. Depois que as permissões forem concedidas, o usuário poderá assumir um perfil do Console de gerenciamento da AWS, do Tools for Windows PowerShell, da AWS Command Line Interface (AWS CLI) e da API [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html).

**Importante**  
Ao criar uma função de forma programática, em vez de no console do IAM, você tem a opção de adicionar um `Path` de até 512 caracteres além do `RoleName`, que pode ter até 64 caracteres. No entanto, se você pretende usar uma função com o recurso **Switch Role** (Alternar função) no Console de gerenciamento da AWS, o `Path` e o `RoleName` combinados não podem exceder 64 caracteres.

O método usado para assumir o perfil determina quem pode assumir a função e por quanto tempo a sessão da função pode durar. Ao usar o código `AssumeRole*` das operações da API, o perfil do IAM que você assume é o de recursos. O usuário ou perfil que chama operações da API `AssumeRole*` é a entidade principal.

A tabela a seguir compara os métodos usados para assumir perfis.


|  Método de assumir a função |  **Quem pode assumir a função**  | **Método para especificar a vida útil da credencial** |  **Vida útil da credencial (mín.\|máx.\|padrão)**  | 
| --- | --- | --- | --- | 
| Console de gerenciamento da AWS | Usuário ou perfis¹ (via [alternância de perfis](id_roles_use_switch-role-console.md)) | Maximum session duration (Duração máxima da sessão) na página Resumo Role (Função) | 15 min\|Configuração de duração máxima da sessão²\|1 h | 
| Operação da CLI [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role.html) ou da API [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) |  Usuário ou perfil¹ | Parâmetro da CLI duration-seconds ou da API DurationSeconds | 15 min\|Configuração de duração máxima da sessão²\|1 h  | 
| Operação da CLI [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html) ou da API [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) | Qualquer usuário autenticado usando SAML | Parâmetro da CLI duration-seconds ou da API DurationSeconds | 15 min\|Configuração de duração máxima da sessão²\|1 h  | 
| Operação da CLI [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-web-identity.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-web-identity.html) ou da API [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) | Qualquer usuário autenticado usando um provedor OIDC | Parâmetro da CLI duration-seconds ou da API DurationSeconds | 15 min\|Configuração de duração máxima da sessão²\|1 h  | 
| [URL do console](id_roles_providers_enable-console-custom-url.md) construído com AssumeRole  | Usuário ou perfil | Parâmetro HTML SessionDuration no URL | 15 min\|12 h\|1 h  | 
| [URL do console](id_roles_providers_enable-console-custom-url.md) construído com AssumeRoleWithSAML  | Qualquer usuário autenticado usando SAML | Parâmetro HTML SessionDuration no URL | 15 min\|12 h\|1 h | 
| [URL do console](id_roles_providers_enable-console-custom-url.md) construído com AssumeRoleWithWebIdentity  | Qualquer usuário autenticado usando um provedor OIDC | Parâmetro HTML SessionDuration no URL | 15 min\|12 h\|1 h  | 

¹ O uso de credenciais de um perfil para assumir um perfil diferente é chamado de [encadeamento de perfis](id_roles.md#iam-term-role-chaining). Quando você usa o encadeamento de perfis, a duração da sessão do perfil é limitada a uma hora. Isso se aplica à alternância de perfis do Console de gerenciamento da AWS, à AWS CLI e às operações de API. Essa limitação não se aplica à situação em que um perfil é assumido pela primeira vez por credenciais do usuário nem a aplicações executadas em instâncias do Amazon EC2 usando perfis de instância.

² Essa configuração pode ter um valor de 1 hora a 12 horas. Para obter detalhes sobre como modificar a configuração de duração máxima da sessão, consulte [Gerenciamento de perfis do IAM](id_roles_manage.md). Essa configuração determina a duração máxima da sessão que você pode solicitar ao obter as credenciais da função. Por exemplo, quando você usa as operações da API [AssumeRole\*](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) para assumir uma função, você pode especificar um tamanho de sessão usando o parâmetro `DurationSeconds`. Use este parâmetro para especificar o tamanho da sessão da função de 900 segundos (15 minutos) até o valor configurado da duração máxima da sessão para a função. Os usuários do IAM que trocam de perfis no console recebem a duração máxima da sessão ou o tempo restante na sessão de usuário, o que for menor. Suponha que você defina uma duração máxima de 5 horas em uma função. Um usuário do IAM conectado ao console por 10 horas (do máximo padrão de 12) alterna para a função. A duração da sessão de função disponível é de 2 horas. Para saber como visualizar o valor máximo para sua função, consulte [Atualizar a duração máxima da sessão de um perfil](id_roles_update-role-settings.md#id_roles_update-session-duration) mais adiante nesta página.

**Observações**  
A configuração da duração máxima da sessão não limita as sessões assumidas por produtos da AWS.
As credenciais do perfil do IAM do Amazon EC2 não estão sujeitas à duração máxima da sessão configurada no perfil.
Para permitir que os usuários assumam novamente o perfil atual em uma sessão de perfil, especifique o ARN do perfil ou o ARN da Conta da AWS como entidade principal na política de confiança do perfil. Os Serviços da AWS que fornecem recursos computacionais, como o Amazon EC2, Amazon ECS, Amazon EKS e Lambda, fornecem credenciais temporárias e atualizam automaticamente essas credenciais. Isso garante que você tenha sempre um conjunto de credenciais válido. Nesses serviços, não é necessário assumir novamente a função atual para obter credenciais temporárias. Porém, se pretender passar [tags de sessão](id_session-tags.md) ou uma [política de sessão](access_policies.md#policies_session), você precisará assumir novamente a função atual. Para saber como modificar uma política de confiança de função para adicionar o ARN da função de entidade principal ou o ARN da Conta da AWS, consulte [Atualizar a política de confiança de um perfil](id_roles_update-role-trust-policy.md).

**Topics**
+ [Mudar de um usuário para um perfil do IAM (console)](id_roles_use_switch-role-console.md)
+ [Alterar para uma perfil do IAM (AWS CLI)](id_roles_use_switch-role-cli.md)
+ [Alternar para um perfil do IAM (Ferramentas para Windows PowerShell)](id_roles_use_switch-role-twp.md)
+ [Alternar para um perfil do IAM (API da AWS)](id_roles_use_switch-role-api.md)
+ [Use um perfil do IAM para conceder permissões a aplicações em execução em instâncias do Amazon EC2](id_roles_use_switch-role-ec2.md)
+ [Usar perfis de instância](id_roles_use_switch-role-ec2_instance-profiles.md)