Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre les sessions d'authentification dans IAM Identity Center
Lorsqu'un utilisateur se connecte au portail d'AWS accès, IAM Identity Center crée une session d'authentification qui représente l'identité vérifiée de l'utilisateur.
Une fois authentifié, l'utilisateur peut accéder à toutes les applications AWS gérées qui lui sont attribuées Comptes AWS et aux applications gérées par le client que les administrateurs lui ont accordé l'autorisation d'utiliser, sans connexion supplémentaire.
Types de sessions d'authentification
Sessions interactives pour les utilisateurs
Une fois qu'un utilisateur s'est connecté au portail AWS d'accès, IAM Identity Center crée une session interactive utilisateur. Cette session représente l'état authentifié de l'utilisateur dans IAM Identity Center et sert de base à la création d'autres types de sessions. Les sessions interactives des utilisateurs peuvent durer la durée configurée dans IAM Identity Center, qui peut aller jusqu'à 90 jours.
Les sessions interactives des utilisateurs constituent le principal mécanisme d'authentification. Ils se terminent lorsque l'utilisateur se déconnecte ou lorsqu'un administrateur met fin à sa session. La durée de ces sessions doit être soigneusement configurée en fonction des exigences de sécurité de votre organisation.
Pour plus d'informations sur la configuration de la durée de session interactive de l'utilisateur, consultezConfiguration de la durée de session dans IAM Identity Center.
Séances de candidature
Les sessions d'application sont les connexions authentifiées entre les utilisateurs et les applications AWS gérées (telles qu'Amazon Q Developer ou Amazon Quick Suite) établies par IAM Identity Center par le biais de l'authentification unique.
Par défaut, les sessions d'application ont une durée de vie d'une heure, mais elles sont automatiquement actualisées tant que la session interactive de l'utilisateur sous-jacente reste valide. Ce mécanisme d'actualisation fournit une expérience fluide aux utilisateurs tout en maintenant les contrôles de sécurité. Lorsqu'une session interactive d'un utilisateur prend fin, que ce soit par le biais d'une déconnexion de l'utilisateur ou d'une action de l'administrateur, les sessions de l'application se terminent lors de la prochaine tentative d'actualisation, généralement dans les 30 minutes.
Sessions d'arrière-plan de l'utilisateur
Les sessions d'arrière-plan utilisateur sont des sessions de longue durée conçues pour les applications qui doivent exécuter des processus pendant des heures ou des jours sans interruption. Actuellement, ce type de session s'applique principalement à Amazon SageMaker Studio, où les data scientists peuvent exécuter des tâches de formation à l'apprentissage automatique qui prennent de nombreuses heures.
Pour plus d'informations sur la configuration de la durée des sessions utilisateur en arrière-plan, voir Sessions en arrière-plan utilisateur.
Séances pour développeurs Amazon Q
Vous pouvez étendre les sessions Amazon Q Developer pour permettre aux développeurs utilisant Amazon Q Developer de conserver leur authentification pendant 90 jours au maximum. IDEs Cette fonctionnalité réduit les interruptions de connexion lorsque vous travaillez sur le code.
Ces sessions sont indépendantes des autres types de sessions et n'affectent pas les sessions interactives des utilisateurs ni les autres applications AWS gérées. Selon le moment où vous avez activé IAM Identity Center, cette fonctionnalité peut être activée par défaut.
Pour plus d'informations sur la configuration de sessions Amazon Q Developer étendues, consultezSessions étendues pour Amazon Q Developer.
Sessions de rôles IAM créées par l'IAM Identity Center
IAM Identity Center crée un type de session différent lorsque les utilisateurs accèdent au AWS Management Console ou AWS CLI. Dans ces cas, IAM Identity Center utilise la session de connexion pour obtenir une session IAM en assumant un rôle IAM spécifié dans le jeu d'autorisations de l'utilisateur.
Important
Contrairement aux sessions d'application, les sessions de rôle IAM fonctionnent indépendamment une fois établies. Ils persistent pendant la durée configurée dans le jeu d'autorisations, qui peut aller jusqu'à 12 heures, quel que soit le statut de la session de connexion initiale. Ce comportement garantit que les opérations CLI ou les sessions de console de longue durée ne se terminent pas de manière inattendue.
Comment mettre fin aux sessions utilisateur dans IAM Identity Center
Initié par l'utilisateur
Lorsqu'un utilisateur se déconnecte du portail d' AWS accès, la session de connexion se termine, ce qui l'empêche d'accéder à de nouvelles ressources.
Les sessions d'application existantes ne se terminent toutefois pas instantanément. Au lieu de cela, ils se termineront dans un délai d'environ 30 minutes, lorsqu'ils tenteront leur prochaine actualisation et constateront que la session de connexion n'est plus valide. Les sessions de rôle IAM existantes se poursuivent jusqu'à leur expiration en fonction de la configuration de l'ensemble d'autorisations, ce qui peut prendre jusqu'à 12 heures plus tard.
Initié par l'administrateur
Toute personne disposant des autorisations administratives IAM Identity Center au sein de votre organisation, généralement les administrateurs informatiques ou les équipes de sécurité, peut mettre fin à la session d'un utilisateur. Cette action fonctionne de la même manière que si les utilisateurs se déconnectaient eux-mêmes, ce qui permet aux administrateurs de demander aux utilisateurs de se reconnecter en cas de besoin. Cette fonctionnalité est utile lorsque les politiques de sécurité changent ou lorsqu'une activité suspecte est détectée.
Lorsqu'un administrateur du IAM Identity Center supprime un utilisateur ou désactive son accès, celui-ci perd l'accès au portail d'accès et ne peut pas se reconnecter pour démarrer une nouvelle application ou une nouvelle session de rôle IAM. AWS L'utilisateur perdra l'accès aux sessions d'application existantes dans les 30 minutes. Toutes les sessions de rôle IAM existantes se poursuivront en fonction de la durée de session configurée dans le jeu d'autorisations IAM Identity Center. La durée maximale de la session peut être de 12 heures.
Qu'advient-il de l'accès utilisateur lorsque vous mettez fin à une session
Cette référence fournit des informations détaillées sur le comportement des sessions IAM Identity Center lorsque des mesures administratives sont prises. Les tableaux de cette section indiquent la durée et les effets des actions de gestion des utilisateurs et des modifications des autorisations sur l'accès au portail AWS d'accès, aux applications et aux Compte AWS sessions.
Gestion des utilisateurs
Ce tableau résume la manière dont les modifications de gestion des utilisateurs affectent l'accès aux AWS ressources, aux sessions d'application et aux sessions de AWS compte.
| Action | L'utilisateur perd l'accès à IAM Identity Center | L'utilisateur ne peut pas créer de nouvelles sessions d'application | L'utilisateur ne peut pas accéder aux sessions d'application existantes | L'utilisateur perd l'accès aux Compte AWS sessions existantes |
|---|---|---|---|---|
| Accès de l'utilisateur désactivé | En vigueur immédiatement | En vigueur immédiatement | Dans les 30 minutes | Dans un délai de 12 heures ou moins. La durée dépend de la durée d'expiration de la session de rôle IAM configurée pour l'ensemble d'autorisations. |
| Utilisateur supprimé | En vigueur immédiatement | En vigueur immédiatement | Dans les 30 minutes | Dans un délai de 12 heures ou moins. La durée dépend de la durée d'expiration de la session de rôle IAM configurée pour l'ensemble d'autorisations. |
| Session utilisateur révoquée | L'utilisateur doit se reconnecter pour retrouver l'accès | En vigueur immédiatement | Dans les 30 minutes | Dans un délai de 12 heures ou moins. La durée dépend de la durée d'expiration de la session de rôle IAM configurée pour l'ensemble d'autorisations. |
| L'utilisateur se déconnecte | L'utilisateur doit se reconnecter pour retrouver l'accès | En vigueur immédiatement | Dans les 30 minutes | Dans un délai de 12 heures ou moins. La durée dépend de la durée d'expiration de la session de rôle IAM configurée pour l'ensemble d'autorisations. |
Appartenance à un groupe
Ce tableau résume la façon dont les modifications apportées aux autorisations des utilisateurs et à l'appartenance à des groupes affectent l'accès aux AWS ressources, aux sessions d'application et aux sessions de AWS compte.
| Action | L'utilisateur perd l'accès à IAM Identity Center | L'utilisateur ne peut pas créer de nouvelles sessions d'application | L'utilisateur ne peut pas accéder aux sessions d'application existantes | L'utilisateur perd l'accès aux Compte AWS sessions existantes |
|---|---|---|---|---|
| Application ou Compte AWS accès supprimé de l'utilisateur | Non, l'utilisateur peut continuer à accéder à IAM Identity Center | En vigueur immédiatement | Dans un délai d'une heure | Dans un délai de 12 heures ou moins. La durée dépend de la durée d'expiration de la session de rôle IAM configurée pour l'ensemble d'autorisations. |
| Utilisateur supprimé du groupe auquel une application avait été attribuée ou Compte AWS | Non, l'utilisateur peut continuer à accéder à IAM Identity Center | Dans un délai d'une heure | Dans les 2 heures | Dans un délai de 12 heures ou moins. La durée dépend de la durée d'expiration de la session de rôle IAM configurée pour l'ensemble d'autorisations. |
| Application ou Compte AWS accès supprimé du groupe | Non, l'utilisateur peut continuer à accéder à IAM Identity Center | En vigueur immédiatement | Dans un délai d'une heure | Dans un délai de 12 heures ou moins. La durée dépend de la durée d'expiration de la session de rôle IAM configurée pour l'ensemble d'autorisations. |
Note
Le portail AWS d'accès AWS CLI reflétera les autorisations utilisateur mises à jour dans l'heure suivant l'ajout ou la suppression d'un utilisateur de ce groupe.
Comprendre les différences temporelles
-
En vigueur immédiatement : actions qui nécessitent une nouvelle authentification immédiate.
-
Dans un délai de 30 minutes à 2 heures : les sessions de candidature ont besoin de temps pour vérifier auprès d'IAM Identity Center et découvrir les modifications éventuelles.
-
Dans un délai de 12 heures ou moins : les sessions de rôle IAM fonctionnent indépendamment et ne se terminent que lorsque leur durée configurée expire.
Déconnexion unique
IAM Identity Center ne prend pas en charge la déconnexion unique SAML (protocole qui déconnecte automatiquement les utilisateurs de toutes les applications connectées lorsqu'ils se déconnectent d'une application) initiée par un fournisseur d'identité qui fait office de source d'identité. En outre, il n'envoie pas de déconnexion unique SAML aux applications SAML 2.0 qui utilisent IAM Identity Center comme fournisseur d'identité.
Bonnes pratiques pour la gestion des sessions
Une gestion de session efficace nécessite une configuration et une surveillance réfléchies. Organisations doivent configurer des durées de session adaptées à leurs exigences de sécurité, en utilisant généralement des durées plus courtes pour les applications et les environnements sensibles.
La mise en œuvre de processus visant à mettre fin aux sessions lorsque les utilisateurs changent de rôle ou quittent l'organisation est essentielle pour maintenir les limites de sécurité. L'examen régulier des sessions actives doit être intégré aux pratiques de surveillance de la sécurité afin de détecter les comportements anormaux susceptibles d'indiquer des problèmes de sécurité, tels que des modèles d'accès inhabituels, des heures ou des emplacements de connexion inattendus, ou l'accès à des ressources en dehors des fonctions professionnelles normales.
