# Cambiar de usuario a rol de IAM (consola)
<a name="id_roles_use_switch-role-console"></a>

Solo puede cambiar de rol cuando inicia sesión como usuario de IAM, un usuario en el Centro de Identidades IAM, como rol federado de SAML o como un rol federado de identidad web. Un *rol* especifica un conjunto de permisos que puede utilizar para acceder a los recursos de AWS que necesita. Sin embargo, no inicia sesión en un rol, pero una vez que inicie sesión como un usuario de IAM podrá cambiar a un rol de IAM. Esto anula temporalmente los permisos de usuario originales y, en su lugar, le otorga los permisos asignados al rol. El rol puede estar en su propia cuenta o en cualquier otra Cuenta de AWS. Para obtener más información acerca de los roles, sus ventajas y cómo crearlos, consulte [Roles de IAM](id_roles.md) y [Creación de roles de IAM](id_roles_create.md).

Los permisos de sus usuarios y de cualquier rol al que cambie no se acumulan. Solo hay un conjunto de permisos activo a la vez. Cuando se cambia a un rol, se abandonan temporalmente los permisos de usuario y se trabaja con los permisos que el rol tenga asignados. Al salir del rol, los permisos de usuario se restablecen de forma automática.

Al cambiar de rol en la Consola de administración de AWS, la consola utiliza siempre sus credenciales originales para autorizar el cambio. Por ejemplo, si cambia a RolA, IAM utiliza sus credenciales originales para determinar si puede asumir el RolA. Si luego cambia a RolB, *mientras utiliza el RolA*, AWS seguirá utilizando sus credenciales **originales**, y no las credenciales del RolA, para autorizar el cambio.

**nota**  
Usted asume un rol de IAM cuando inicia sesión como usuario en el IAM Identity Center, como rol federado de SAML o como rol federado de identidades web. Por ejemplo, cuando un usuario del IAM Identity Center inicia sesión en el portal de acceso de AWS, debe elegir un conjunto de permisos que se correlacionen con un rol antes de poder acceder a los recursos de AWS.

## Sesiones de rol
<a name="id_roles_iam_user-switch-role-sessions"></a>

Cuando cambia de rol, de forma predeterminada su sesión en la Consola de administración de AWS dura 1 hora. Las sesiones de usuario de IAM duran 12 horas de forma predeterminada. Es posible que otros usuarios tengan definidas diferentes duraciones de sesión. Cuando cambia de rol en la consola, se le concede una duración máxima de sesión o el tiempo restante de su sesión de usuario (lo que sea menor). Asumir un rol no significa que se extenderá la duración de su sesión.

Por ejemplo, suponga que se establece una duración máxima de sesión de 10 horas para un rol. Su sesión en la consola lleva 8 horas de duración cuando decide cambiar al rol. Quedan 4 horas de su sesión de usuario, por lo que la duración de la sesión permitida para su rol es de 4 horas y no la duración máxima de sesión de 10 horas. En la tabla siguiente se muestra cómo determinar la duración de la sesión para un usuario de IAM al cambiar roles en la consola.


| El tiempo restante de sesión de usuario de IAM es... | La duración de la sesión de rol es… | 
| --- | --- | 
| Duración máxima de la sesión inferior al rol | Tiempo restante en la sesión del usuario | 
| Duración máxima de la sesión mayor al rol | Valor de la duración máxima de la sesión | 
| Igual a la duración máxima de la sesión del rol | Valor de la duración máxima de la sesión (aproximado) | 

Utilizar las credenciales de un rol para asumir otro rol se denomina [encadenamiento de roles](id_roles.md#iam-term-role-chaining). Cuando se utiliza el encadenamiento de roles, se limita la sesión de duración a una hora, sin importar la duración máxima de sesión establecida para cada uno de los roles. Esto se aplica al cambio de roles de la Consola de administración de AWS, la AWS CLI y las operaciones de la API.

**nota**  
Algunas de servicio AWS pueden reiniciar automáticamente su sesión de rol cuando caduque sin que realice ninguna acción. Algunos pueden pedirle que vuelva a cargar la página del navegador para volver a autenticar su sesión.

## Consideraciones
<a name="id_roles_iam_user-switch-role-considerations"></a>
+ Si inicia sesión como Usuario raíz de la cuenta de AWS, no puede cambiar de rol. 
+ Los usuarios deben tener permisos concedidos para cambiar de rol, de acuerdo con la política. Para obtener instrucciones, consulte [Conceder a un usuario permisos para cambiar de rol](id_roles_use_permissions-to-switch.md).
+ En la Consola de administración de AWS, no puede cambiar a un rol que requiera un valor [ExternalId](id_roles_common-scenarios_third-party.md#id_roles_third-party_external-id). Solo puede cambiar a dicho rol si llama a la API [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) que admite el parámetro `ExternalId`.

## Para cambiar de rol
<a name="id_roles_iam_user-switch-role-console-procedure"></a>

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en [Cómo iniciar sesión en Consola de administración de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In*.

1. En la Consola de administración de AWS, elija su nombre de usuario en la barra de navegación que aparece en la parte superior derecha. Normalmente tiene el siguiente aspecto: **{{nombre\_usuario}}@{{número\_ID\_cuenta\_o\_alias}}**.

1. Elija uno de los siguientes métodos para especificar los detalles de la aplicación:
   + Elija **Cambiar rol**.
   + Si optó por el soporte multisesión, elija **Agregar sesión** y seleccione **Cambiar rol**.
**nota**  
Puede iniciar sesión en hasta cinco identidades diferentes al mismo tiempo en un solo navegador web en la Consola de administración de AWS. Para obtener más información, consulte [Cómo iniciar sesión en varias cuentas](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/multisession.html) en la *Guía de introducción a Consola de administración de AWS*.

1. En la página **Switch Role (Cambiar rol)**, escriba el número del ID de la cuenta o el alias de la cuenta y el nombre del rol que le proporcionó el administrador.
**nota**  
Si su administrador creó el rol con una ruta como, por ejemplo, `division_abc/subdivision_efg/roleToDoX`, deberá escribir dicha ruta y el nombre completos en el recuadro **Role (Rol)**. Si escribe solamente el nombre del rol, o si la longitud combinada de `Path` y `RoleName` sobrepasa los 64 caracteres, el cambio de rol producirá un error. Se trata de un límite de las cookies del navegador que almacenan el nombre del rol. Si esto ocurre, póngase en contacto con el administrador y pídale que reduzca el tamaño de la ruta y del nombre del rol.

1. (Opcional) Puede introducir un nombre para mostrar y elegir un color de visualización que resalte el rol en la barra de navegación de la consola.
   + En **Nombre de visualización**, escriba el texto que quiere que aparezca en la barra de navegación, en lugar de su nombre de usuario, cuando este rol esté activo. El sistema le sugiere un nombre en función de la información de la cuenta y del rol, pero puede cambiarlo si lo desea. 
   + En **Color de visualización**, elija un color para resaltar el nombre de visualización.

   El nombre y el color pueden ayudarle a saber cuándo está activo el rol, lo que modificará sus permisos. Por ejemplo, en el caso de un rol que le ofrece acceso al entorno de prueba, puede especificar un **Nombre que mostrar** de **Test** y seleccionar el **Color** verde. En el caso de un rol que le ofrece acceso al entorno de producción, puede especificar un **Nombre de visualización** de **Production** y seleccionar el **Color** rojo.

1. Elija **Switch Role**. El nombre y el color de visualización sustituyen su nombre de usuario en la barra de navegación y, a partir de ese momento, puede empezar a utilizar los permisos que le concede dicho rol.

1. Una vez que haya completado las tareas que requieren el rol de IAM, puede volver a su sesión original. De este modo, se eliminarán los permisos adicionales proporcionados por el rol y se devolverán los permisos estándar.

   1. En la consola de IAM, elija el **Nombre de visualización** del rol en la parte superior derecha de la barra de navegación.

   1. Elija **Volver**.

      Por ejemplo, supongamos que ha iniciado sesión en el número de cuenta `123456789012` con el nombre de usuario `Richard`. Después de utilizar el rol `admin-role`, desea dejar de utilizarlo y volver a los permisos originales. Para dejar de utilizar el rol, elija **admin-role @ 123456789012** y luego elija **Volver**.  
![Gráfico que muestra la función Volver para dejar de utilizar un rol de IAM y volver al usuario original.](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/role-stop-using.png)

**sugerencia**  
Los últimos roles que utilizó aparecen en el menú . La próxima vez que necesite cambiar a uno de estos roles, solo debe elegir el rol que prefiera. Si el rol no se muestra en el menú, solo tiene que escribir la información de la cuenta y del rol manualmente.

## Recursos adicionales
<a name="id_roles_use_switch-role-console_additional_resources"></a>
+ [Conceder a un usuario permisos para cambiar de rol](id_roles_use_permissions-to-switch.md)
+ [Conceder permisos a un usuario para transferir un rol a un servicio de AWS](id_roles_use_passrole.md)
+ [Creación de un rol para delegar permisos a un usuario de IAM](id_roles_create_for-user.md)
+ [Crear un rol para delegar permisos a un servicio de AWS](id_roles_create_for-service.md)
+ [Solucionar problemas de roles de IAM](troubleshoot_roles.md)