Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción de las sesiones de autenticación en IAM Identity Center
Cuando un usuario inicia sesión en el portal de AWS acceso, el Centro de Identidad de IAM crea una sesión de autenticación que representa la identidad verificada del usuario.
Una vez autenticado, el usuario puede acceder a todas sus aplicaciones asignadas Cuentas de AWS y AWS administradas y a las aplicaciones administradas por el cliente para las que los administradores le hayan otorgado permiso de uso, sin necesidad de iniciar sesión adicionales.
Tipos de sesiones de autenticación
Sesiones interactivas para el usuario
Cuando un usuario inicia sesión en el portal de AWS acceso, el IAM Identity Center crea una sesión interactiva para el usuario. Esta sesión representa el estado autenticado del usuario en el Centro de Identidad de IAM y sirve de base para crear otros tipos de sesiones. Las sesiones interactivas del usuario pueden durar el tiempo configurado en el Centro de Identidad de IAM, que puede ser de hasta 90 días.
Las sesiones interactivas para el usuario son el principal mecanismo de autenticación. Finalizan cuando el usuario cierra sesión o cuando un administrador finaliza su sesión. La duración de estas sesiones debe configurarse cuidadosamente en función de los requisitos de seguridad de la organización.
Para obtener información sobre cómo configurar la duración de la sesión interactiva del usuario, consulteConfigurar la duración de la sesión en IAM Identity Center.
Sesiones de aplicación
Las sesiones de aplicación son las conexiones autenticadas entre los usuarios y las aplicaciones AWS gestionadas (como Amazon Q Developer o Amazon Quick Suite) que IAM Identity Center establece mediante el inicio de sesión único.
De forma predeterminada, las sesiones de la aplicación tienen una duración de una hora, pero se actualizan automáticamente mientras la sesión interactiva del usuario subyacente siga siendo válida. Este mecanismo de actualización proporciona una experiencia fluida a los usuarios y, al mismo tiempo, mantiene los controles de seguridad. Cuando finaliza una sesión interactiva del usuario, ya sea mediante el cierre de sesión del usuario o mediante una acción del administrador, las sesiones de la aplicación finalizarán en el siguiente intento de actualización, normalmente en 30 minutos.
Sesiones de usuario en segundo plano
Las sesiones de usuario en segundo plano son sesiones de duración prolongada diseñadas para aplicaciones que necesitan ejecutar procesos durante horas o días sin interrupción. Actualmente, este tipo de sesión se aplica principalmente a Amazon SageMaker Studio, donde los científicos de datos pueden realizar trabajos de formación en aprendizaje automático que tardan muchas horas en completarse.
Para obtener información sobre cómo configurar la duración de la sesión de usuario en segundo plano, consulte Sesiones de usuario en segundo plano.
Sesiones para desarrolladores de Amazon Q
Puede ampliar las sesiones de Amazon Q Developer para que los desarrolladores que utilizan Amazon Q Developer puedan IDEs mantener la autenticación durante un máximo de 90 días. Esta función reduce las interrupciones de inicio de sesión mientras trabaja con el código.
Estas sesiones son independientes de otros tipos de sesiones y no afectan a las sesiones interactivas de los usuarios ni a otras aplicaciones AWS gestionadas. En función de cuándo haya activado el Centro de identidad de IAM, es posible que esta función esté habilitada de forma predeterminada.
Para obtener información sobre la configuración de sesiones ampliadas de Amazon Q Developer, consulteSesiones ampliadas para desarrolladores de Amazon Q.
Sesiones de roles de IAM creadas por IAM Identity Center
El Centro de Identidad de IAM crea un tipo de sesión diferente cuando los usuarios acceden al o. AWS Management Console AWS CLI En estos casos, el Centro de Identidad de IAM utiliza la sesión de inicio de sesión para obtener una sesión de IAM asumiendo una función de IAM especificada en el conjunto de permisos del usuario.
importante
A diferencia de las sesiones de aplicación, las sesiones de roles de IAM funcionan de forma independiente una vez establecidas. Persisten durante el tiempo configurado en el conjunto de permisos, que puede ser de hasta 12 horas, independientemente del estado de la sesión de inicio de sesión original. Este comportamiento garantiza que las operaciones de CLI o las sesiones de consola de larga duración no finalicen inesperadamente.
Formas de finalizar las sesiones de los usuarios en el Centro de identidades de IAM
Iniciadas por el usuario
Cuando un usuario cierra sesión en el portal de AWS acceso, la sesión de inicio de sesión finaliza, lo que impide que el usuario acceda a nuevos recursos.
Sin embargo, las sesiones de aplicación existentes no finalizan de forma instantánea. En su lugar, finalizarán en aproximadamente 30 minutos, cuando intenten realizar la siguiente actualización y descubran que la sesión de inicio de sesión ya no es válida. Las sesiones de rol de IAM existentes continúan hasta que caduquen según la configuración del conjunto de permisos, lo que podría ocurrir hasta 12 horas después.
Iniciadas por el administrador
Cualquier persona de su organización con permisos administrativos en el Centro de Identidad de IAM, normalmente administradores de TI o equipos de seguridad, puede finalizar la sesión de un usuario. Esta acción funciona de la misma manera que si los usuarios cerraran sesión ellos mismos, lo que permite a los administradores exigir a los usuarios que vuelvan a iniciar sesión cuando sea necesario. Esta capacidad resulta útil cuando las políticas de seguridad cambian o cuando se detecta una actividad sospechosa.
Cuando un administrador del Centro de Identidad de IAM elimina a un usuario o deshabilita su acceso, el usuario pierde el acceso al portal de AWS acceso y no puede volver a iniciar sesión para iniciar una nueva sesión de aplicación o rol de IAM. El usuario perderá el acceso a las sesiones de la aplicación existentes en 30 minutos. Todas las sesiones de rol de IAM existentes continuarán en función de la duración de la sesión configurada en el conjunto de permisos del Centro de Identidad de IAM. La duración máxima de la sesión puede ser de 12 horas.
¿Qué ocurre con el acceso de los usuarios al finalizar una sesión
Esta referencia proporciona información detallada sobre el comportamiento de las sesiones del Centro de Identidad de IAM cuando se toman medidas administrativas. Las tablas de esta sección muestran la duración y los efectos de las acciones de administración de usuarios y los cambios de permisos en el acceso al portal de AWS acceso, las aplicaciones y las Cuenta de AWS sesiones.
Administración de usuarios
En esta tabla se resume cómo los cambios en la administración de usuarios afectan al acceso a AWS los recursos, a las sesiones de aplicaciones y a las sesiones de AWS cuentas.
| Acción | El usuario pierde el acceso al centro de identidad de IAM | El usuario no puede crear nuevas sesiones de aplicación | El usuario no puede acceder a las sesiones de aplicación existentes | El usuario pierde el acceso a las Cuenta de AWS sesiones existentes |
|---|---|---|---|---|
| El acceso del usuario está deshabilitado | Con efecto inmediato | Con efecto inmediato | En 30 minutos | Dentro de 12 horas o menos. La duración depende de la duración de caducidad de la sesión de rol de IAM configurada para el conjunto de permisos. |
| Usuario eliminado | Con efecto inmediato | Con efecto inmediato | En 30 minutos | Dentro de 12 horas o menos. La duración depende de la duración de caducidad de la sesión de rol de IAM configurada para el conjunto de permisos. |
| Sesión de usuario revocada | El usuario debe volver a iniciar sesión para recuperar el acceso | Con efecto inmediato | En 30 minutos | Dentro de 12 horas o menos. La duración depende de la duración de caducidad de la sesión de rol de IAM configurada para el conjunto de permisos. |
| El usuario cierra sesión | El usuario debe volver a iniciar sesión para recuperar el acceso | Con efecto inmediato | En 30 minutos | Dentro de 12 horas o menos. La duración depende de la duración de caducidad de la sesión de rol de IAM configurada para el conjunto de permisos. |
Pertenencia a grupos
En esta tabla se resume cómo los cambios en los permisos de los usuarios y en la pertenencia a grupos afectan al acceso a los AWS recursos, a las sesiones de aplicaciones y a las sesiones de cuentas. AWS
| Acción | El usuario pierde el acceso al centro de identidad de IAM | El usuario no puede crear nuevas sesiones de aplicación | El usuario no puede acceder a las sesiones de aplicación existentes | El usuario pierde el acceso a las Cuenta de AWS sesiones existentes |
|---|---|---|---|---|
| Se ha eliminado la aplicación o el Cuenta de AWS acceso del usuario | No, el usuario puede seguir accediendo al Centro de Identidad de IAM | Con efecto inmediato | Dentro de 1 hora | Dentro de 12 horas o menos. La duración depende de la duración de caducidad de la sesión de rol de IAM configurada para el conjunto de permisos. |
| Usuario eliminado del grupo al que se le asignó una aplicación o Cuenta de AWS | No: el usuario puede seguir accediendo al Centro de identidad de IAM | En el plazo de 1 hora | Dentro de 2 horas | Dentro de 12 horas o menos. La duración depende de la duración de caducidad de la sesión de rol de IAM configurada para el conjunto de permisos. |
| Se ha eliminado la aplicación o el Cuenta de AWS acceso del grupo | No, el usuario puede seguir accediendo al Centro de identidad de IAM | Con efecto inmediato | Dentro de 1 hora | Dentro de 12 horas o menos. La duración depende de la duración de caducidad de la sesión de rol de IAM configurada para el conjunto de permisos. |
nota
El portal de AWS acceso AWS CLI reflejará los permisos de usuario actualizados una hora después de añadir o eliminar un usuario de ese grupo.
Entender las diferencias de tiempo
-
Con efecto inmediato: acciones que requieren una reautenticación inmediata.
-
Entre 30 minutos y 2 horas: las sesiones de solicitud necesitan tiempo para comprobarse en el Centro de Identidad de IAM y detectar cualquier cambio.
-
En un plazo de 12 horas o menos, las sesiones de rol de IAM funcionan de forma independiente y solo finalizan cuando vence la duración configurada.
Cierre de sesión único
El Centro de Identidad de IAM no admite el cierre de sesión único mediante SAML (un protocolo que cierra automáticamente la sesión de los usuarios en todas las aplicaciones conectadas cuando cierran sesión en una de ellas) iniciado por un proveedor de identidades que actúa como fuente de identidad. Además, no envía el cierre de sesión único con SAML a las aplicaciones de SAML 2.0 que utilizan el IAM Identity Center como proveedor de identidad.
Prácticas recomendadas para la administración de sesiones
La administración eficaz de las sesiones requiere una configuración y una supervisión cuidadosas. Las organizaciones deben configurar la duración de las sesiones de forma adecuada a sus requisitos de seguridad y, por lo general, utilizar duraciones más cortas para aplicaciones y entornos confidenciales.
Implementar procesos para finalizar las sesiones cuando los usuarios cambian de rol o abandonan la organización es esencial para mantener los límites de seguridad. La revisión periódica de las sesiones activas debe incorporarse a las prácticas de supervisión de la seguridad para detectar comportamientos anómalos que puedan indicar problemas de seguridad, como patrones de acceso inusuales, horas o ubicaciones de inicio de sesión inesperadas o el acceso a recursos ajenos a las funciones laborales normales.
