Grundlegendes zu Authentifizierungssitzungen in IAM Identity Center - AWS IAM Identity Center
Arten von AuthentifizierungssitzungenMöglichkeiten, Benutzersitzungen zu beendenWas passiert mit dem Benutzerzugriff, wenn Sie eine Sitzung beendenEinmaliges AbmeldenBewährte Methoden für die Sitzungsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu Authentifizierungssitzungen in IAM Identity Center

Wenn sich ein Benutzer beim AWS Zugriffsportal anmeldet, erstellt IAM Identity Center eine Authentifizierungssitzung, die die verifizierte Identität des Benutzers darstellt.

Nach der Authentifizierung kann der Benutzer ohne zusätzliche Anmeldungen auf alle ihm zugewiesenen AWS-Konten, AWS verwalteten Anwendungen sowie auf vom Kunden verwaltete Anwendungen zugreifen, zu deren Verwendung ihm Administratoren eine Nutzungsberechtigung erteilt haben.

Arten von Authentifizierungssitzungen

Interaktive Benutzersitzungen

Nachdem sich ein Benutzer beim AWS Zugriffsportal angemeldet hat, erstellt IAM Identity Center eine interaktive Benutzersitzung. Diese Sitzung stellt den authentifizierten Status des Benutzers innerhalb von IAM Identity Center dar und dient als Grundlage für die Erstellung anderer Sitzungstypen. Interaktive Benutzersitzungen können für die in IAM Identity Center konfigurierte Dauer dauern, die bis zu 90 Tage betragen kann.

Interaktive Benutzersitzungen sind der primäre Authentifizierungsmechanismus. Sie enden, wenn sich der Benutzer abmeldet oder wenn ein Administrator seine Sitzung beendet. Die Dauer dieser Sitzungen sollte sorgfältig auf der Grundlage der Sicherheitsanforderungen Ihres Unternehmens konfiguriert werden.

Hinweise zur Konfiguration der Dauer interaktiver Benutzersitzungen finden Sie unterKonfigurieren Sie die Sitzungsdauer im IAM Identity Center.

Anwendungssitzungen

Anwendungssitzungen sind authentifizierte Verbindungen zwischen Benutzern und AWS verwalteten Anwendungen (wie Amazon Q Developer oder Amazon Quick Suite), die IAM Identity Center über Single Sign-On herstellt.

Standardmäßig haben Anwendungssitzungen eine Lebensdauer von einer Stunde, sie werden jedoch automatisch aktualisiert, solange die zugrunde liegende interaktive Benutzersitzung gültig bleibt. Dieser Aktualisierungsmechanismus bietet Benutzern ein nahtloses Benutzererlebnis und gewährleistet gleichzeitig die Einhaltung der Sicherheitskontrollen. Wenn eine interaktive Benutzersitzung entweder durch Abmeldung des Benutzers oder durch eine Administratoraktion beendet wird, werden die Anwendungssitzungen beim nächsten Aktualisierungsversuch beendet, normalerweise innerhalb von 30 Minuten.

Hintergrundsitzungen für Benutzer

Benutzerhintergrundsitzungen sind Sitzungen mit längerer Dauer, die für Anwendungen konzipiert sind, bei denen Prozesse stunden- oder tagelang ohne Unterbrechung ausgeführt werden müssen. Derzeit gilt dieser Sitzungstyp hauptsächlich für Amazon SageMaker Studio, wo Datenwissenschaftler möglicherweise Schulungsaufgaben für maschinelles Lernen ausführen, deren Bearbeitung viele Stunden in Anspruch nimmt.

Informationen zur Konfiguration der Dauer von Benutzerhintergrundsitzungen finden Sie unter Benutzerhintergrundsitzungen.

Amazon Q Entwicklersitzungen

Sie können Amazon Q Developer-Sitzungen verlängern, sodass Entwickler, die Amazon Q Developer verwenden IDEs , die Authentifizierung für bis zu 90 Tage aufrechterhalten können. Diese Funktion reduziert Anmeldeunterbrechungen, während Sie an Code arbeiten.

Diese Sitzungen sind unabhängig von anderen Sitzungstypen und wirken sich nicht auf benutzerinteraktive Sitzungen oder andere AWS verwaltete Anwendungen aus. Je nachdem, wann Sie IAM Identity Center aktiviert haben, ist diese Funktion möglicherweise standardmäßig aktiviert.

Informationen zur Konfiguration erweiterter Amazon Q Developer-Sitzungen finden Sie unterErweiterte Sessions für Amazon Q Developer.

Von IAM Identity Center erstellte IAM-Rollensitzungen

IAM Identity Center erstellt einen anderen Sitzungstyp, wenn Benutzer auf das oder zugreifen. AWS Management Console AWS CLI In diesen Fällen verwendet IAM Identity Center die Anmeldesitzung, um eine IAM-Sitzung aufzurufen, indem es eine IAM-Rolle annimmt, die im Berechtigungssatz des Benutzers angegeben ist.

Wichtig

Im Gegensatz zu Anwendungssitzungen funktionieren IAM-Rollensitzungen unabhängig voneinander, sobald sie eingerichtet wurden. Sie bleiben für die im Berechtigungssatz konfigurierte Dauer bestehen, die unabhängig vom Status der ursprünglichen Anmeldesitzung bis zu 12 Stunden betragen kann. Dieses Verhalten stellt sicher, dass lang andauernde CLI-Operationen oder Konsolensitzungen nicht unerwartet beendet werden.

Möglichkeiten, Benutzersitzungen im IAM Identity Center zu beenden

Vom Benutzer initiiert

Wenn sich ein Benutzer vom AWS Zugriffsportal abmeldet, wird die Anmeldesitzung beendet, sodass der Benutzer nicht mehr auf neue Ressourcen zugreifen kann.

Bestehende Anwendungssitzungen werden jedoch nicht sofort beendet. Stattdessen enden sie innerhalb von etwa 30 Minuten, wenn sie bei der nächsten Aktualisierung feststellen, dass die Anmeldesitzung nicht mehr gültig ist. Bestehende IAM-Rollensitzungen werden fortgesetzt, bis sie je nach Konfiguration des Berechtigungssatzes ablaufen, was bis zu 12 Stunden später sein kann.

Vom Administrator initiiert

Jeder Benutzer mit Administratorberechtigungen für IAM Identity Center in Ihrer Organisation, in der Regel IT-Administratoren oder Sicherheitsteams, kann die Sitzung eines Benutzers beenden. Diese Aktion funktioniert genauso, als ob sich Benutzer selbst abmelden würden, sodass Administratoren verlangen können, dass sich Benutzer bei Bedarf erneut anmelden. Diese Funktion ist nützlich, wenn sich Sicherheitsrichtlinien ändern oder wenn verdächtige Aktivitäten erkannt werden.

Wenn ein IAM Identity Center-Administrator einen Benutzer löscht oder den Zugriff eines Benutzers deaktiviert, verliert der Benutzer den Zugriff auf das AWS Zugriffsportal und kann sich nicht erneut anmelden, um eine neue Anwendung oder IAM-Rollensitzung zu starten. Der Benutzer verliert innerhalb von 30 Minuten den Zugriff auf bestehende Anwendungssitzungen. Alle bestehenden IAM-Rollensitzungen werden auf der Grundlage der Sitzungsdauer fortgesetzt, die im IAM Identity Center-Berechtigungssatz konfiguriert ist. Die maximale Sitzungsdauer kann 12 Stunden betragen.

Was passiert mit dem Benutzerzugriff, wenn Sie eine Sitzung beenden

Diese Referenz enthält detaillierte Informationen darüber, wie sich IAM Identity Center-Sitzungen verhalten, wenn administrative Maßnahmen ergriffen werden. Die Tabellen in diesem Abschnitt zeigen die Dauer und die Auswirkungen von Benutzerverwaltungsaktionen und Berechtigungsänderungen auf den Zugriff auf das AWS Zugriffsportal, Anwendungen und AWS-Konto Sitzungen.

Benutzerverwaltung

In dieser Tabelle wird zusammengefasst, wie sich Änderungen der Benutzerverwaltung auf den Zugriff auf AWS Ressourcen, Anwendungssitzungen und AWS Kontositzungen auswirken.

Aktion Der Benutzer verliert den Zugriff auf das IAM Identity Center Der Benutzer kann keine neuen Anwendungssitzungen erstellen Der Benutzer kann nicht auf bestehende Anwendungssitzungen zugreifen Der Benutzer verliert den Zugriff auf bestehende AWS-Konto Sitzungen
Benutzerzugriff deaktiviert Mit sofortiger Wirkung Mit sofortiger Wirkung Innerhalb von 30 Minuten Innerhalb von 12 Stunden oder weniger. Die Dauer hängt von der für den Berechtigungssatz konfigurierten Ablaufdauer der IAM-Rollensitzung ab.
Der Benutzer wurde gelöscht Mit sofortiger Wirkung Mit sofortiger Wirkung Innerhalb von 30 Minuten Innerhalb von 12 Stunden oder weniger. Die Dauer hängt von der für den Berechtigungssatz konfigurierten Ablaufdauer der IAM-Rollensitzung ab.
Benutzersitzung wurde aufgehoben Der Benutzer muss sich erneut anmelden, um wieder Zugriff zu erhalten Mit sofortiger Wirkung Innerhalb von 30 Minuten Innerhalb von 12 Stunden oder weniger. Die Dauer hängt von der für den Berechtigungssatz konfigurierten Ablaufdauer der IAM-Rollensitzung ab.
Der Benutzer meldet sich ab Der Benutzer muss sich erneut anmelden, um wieder Zugriff zu erhalten Mit sofortiger Wirkung Innerhalb von 30 Minuten Innerhalb von 12 Stunden oder weniger. Die Dauer hängt von der für den Berechtigungssatz konfigurierten Ablaufdauer der IAM-Rollensitzung ab.

Gruppenmitgliedschaft

In dieser Tabelle wird zusammengefasst, wie sich Änderungen an Benutzerberechtigungen und Gruppenmitgliedschaften auf den Zugriff auf AWS Ressourcen, Anwendungssitzungen und AWS Kontositzungen auswirken.

Aktion Der Benutzer verliert den Zugriff auf das IAM Identity Center Der Benutzer kann keine neuen Anwendungssitzungen erstellen Der Benutzer kann nicht auf bestehende Anwendungssitzungen zugreifen Der Benutzer verliert den Zugriff auf bestehende AWS-Konto Sitzungen
Die Anwendung oder der AWS-Konto Zugriff wurde dem Benutzer entzogen Nein — Der Benutzer kann weiterhin auf IAM Identity Center zugreifen Mit sofortiger Wirkung Innerhalb von 1 Stunde Innerhalb von 12 Stunden oder weniger. Die Dauer hängt von der für den Berechtigungssatz konfigurierten Ablaufdauer der IAM-Rollensitzung ab.
Der Benutzer wurde aus der Gruppe entfernt, der eine Anwendung zugewiesen war, oder AWS-Konto Nein — Der Benutzer kann weiterhin auf IAM Identity Center zugreifen Innerhalb von 1 Stunde Innerhalb von 2 Stunden Innerhalb von 12 Stunden oder weniger. Die Dauer hängt von der für den Berechtigungssatz konfigurierten Ablaufdauer der IAM-Rollensitzung ab.
Die Anwendung oder der AWS-Konto Zugriff wurde aus der Gruppe entfernt Nein — Der Benutzer kann weiterhin auf IAM Identity Center zugreifen Mit sofortiger Wirkung Innerhalb von 1 Stunde Innerhalb von 12 Stunden oder weniger. Die Dauer hängt von der für den Berechtigungssatz konfigurierten Ablaufdauer der IAM-Rollensitzung ab.
Anmerkung

Das AWS Zugriffsportal und spiegelt AWS CLI die aktualisierten Benutzerberechtigungen innerhalb von 1 Stunde wider, nachdem Sie einen Benutzer zu dieser Gruppe hinzugefügt oder aus dieser entfernt haben.

Zeitunterschiede verstehen

  • Sofort wirksam — Aktionen, die eine sofortige erneute Authentifizierung erfordern.

  • Innerhalb von 30 Minuten bis 2 Stunden benötigen Anwendungssitzungen Zeit, um beim IAM Identity Center nachzufragen und etwaige Änderungen zu ermitteln.

  • Innerhalb von 12 Stunden oder weniger — IAM-Rollensitzungen werden unabhängig voneinander ausgeführt und enden erst, wenn ihre konfigurierte Dauer abgelaufen ist.

Einmaliges Abmelden

IAM Identity Center unterstützt kein SAML Single Logout (ein Protokoll, das Benutzer automatisch von allen verbundenen Anwendungen abmeldet, wenn sie sich von einer abmelden), das von einem Identitätsanbieter initiiert wurde, der als Ihre Identitätsquelle fungiert. Darüber hinaus sendet es SAML Single Logout nicht an SAML 2.0-Anwendungen, die IAM Identity Center als Identitätsanbieter verwenden.

Bewährte Methoden für die Sitzungsverwaltung

Effektives Sitzungsmanagement erfordert eine durchdachte Konfiguration und Überwachung. Organizations sollten die Sitzungsdauer entsprechend ihren Sicherheitsanforderungen konfigurieren und generell kürzere Zeiträume für sensible Anwendungen und Umgebungen verwenden.

Die Implementierung von Prozessen zum Beenden von Sitzungen, wenn Benutzer die Rollen wechseln oder das Unternehmen verlassen, ist für die Einhaltung der Sicherheitsgrenzen unerlässlich. Die regelmäßige Überprüfung der aktiven Sitzungen sollte in die Sicherheitsüberwachung integriert werden, um ungewöhnliches Verhalten zu erkennen, das auf Sicherheitsprobleme hinweisen könnte, wie z. B. ungewöhnliche Zugriffsmuster, unerwartete Anmeldezeiten oder -orte oder Zugriff auf Ressourcen außerhalb der normalen Arbeitsfunktionen.