Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memahami sesi otentikasi di IAM Identity Center
Saat pengguna masuk ke portal AWS akses, IAM Identity Center membuat sesi otentikasi yang mewakili identitas terverifikasi pengguna.
Setelah diautentikasi, pengguna dapat mengakses semua aplikasi yang ditetapkan Akun AWS,AWS dikelola, dan aplikasi yang dikelola pelanggan yang administrator telah memberi mereka izin untuk digunakan, tanpa login tambahan.
Jenis sesi otentikasi
Sesi interaktif pengguna
Setelah pengguna masuk ke portal AWS akses, IAM Identity Center membuat sesi interaktif pengguna. Sesi ini mewakili status otentikasi pengguna dalam IAM Identity Center dan berfungsi sebagai dasar untuk membuat jenis sesi lainnya. Sesi interaktif pengguna dapat berlangsung selama durasi yang dikonfigurasi di IAM Identity Center, yang bisa sampai 90 hari.
Sesi interaktif pengguna adalah mekanisme otentikasi utama. Mereka berakhir ketika pengguna keluar atau ketika administrator mengakhiri sesi mereka. Durasi sesi ini harus dikonfigurasi dengan cermat berdasarkan persyaratan keamanan organisasi Anda.
Untuk informasi tentang mengonfigurasi durasi sesi interaktif pengguna, lihatKonfigurasikan durasi sesi di IAM Identity Center.
Sesi aplikasi
Sesi aplikasi adalah koneksi yang diautentikasi antara pengguna dan aplikasi yang AWS dikelola (seperti Amazon Q Developer atau Amazon Quick Suite) yang dibuat oleh IAM Identity Center melalui sistem masuk tunggal.
Secara default, sesi aplikasi memiliki masa pakai satu jam, tetapi secara otomatis disegarkan selama sesi interaktif pengguna yang mendasarinya tetap valid. Mekanisme penyegaran ini memberikan pengalaman yang mulus bagi pengguna sambil mempertahankan kontrol keamanan. Ketika sesi interaktif pengguna berakhir, baik melalui log-out pengguna atau tindakan administrator, sesi aplikasi akan berakhir pada upaya penyegaran berikutnya, biasanya dalam waktu 30 menit.
Sesi latar belakang pengguna
Sesi latar belakang pengguna adalah sesi durasi diperpanjang yang dirancang untuk aplikasi yang perlu menjalankan proses selama berjam-jam atau berhari-hari tanpa gangguan. Saat ini, jenis sesi ini berlaku terutama untuk Amazon SageMaker Studio, di mana ilmuwan data mungkin menjalankan pekerjaan pelatihan pembelajaran mesin yang membutuhkan waktu berjam-jam untuk menyelesaikannya.
Untuk informasi tentang mengonfigurasi durasi sesi latar belakang pengguna, lihat Sesi latar belakang pengguna.
Sesi Pengembang Amazon Q
Anda dapat memperpanjang sesi Pengembang Amazon Q untuk memungkinkan pengembang yang menggunakan Pengembang Amazon Q IDEs untuk mempertahankan otentikasi hingga 90 hari. Fitur ini mengurangi gangguan login saat Anda mengerjakan kode.
Sesi ini tidak tergantung pada jenis sesi lain dan tidak memengaruhi sesi interaktif pengguna atau aplikasi AWS terkelola lainnya. Bergantung pada saat Anda mengaktifkan IAM Identity Center, fitur ini mungkin diaktifkan secara default.
Untuk informasi tentang mengonfigurasi sesi Pengembang Amazon Q yang diperluas, lihatSesi diperpanjang untuk Pengembang Amazon Q.
Sesi peran IAM yang dibuat oleh IAM Identity Center
IAM Identity Center membuat jenis sesi yang berbeda ketika pengguna mengakses AWS Management Console atau AWS CLI. Dalam kasus ini, Pusat Identitas IAM menggunakan sesi masuk untuk mendapatkan sesi IAM dengan mengasumsikan peran IAM yang ditentukan dalam set izin pengguna.
penting
Tidak seperti sesi aplikasi, sesi peran IAM beroperasi secara independen setelah ditetapkan. Mereka bertahan selama durasi yang dikonfigurasi dalam set izin, yang bisa sampai 12 jam, terlepas dari status sesi masuk asli. Perilaku ini memastikan bahwa operasi CLI atau sesi konsol yang berjalan lama tidak tiba-tiba berakhir.
Cara untuk mengakhiri sesi pengguna di IAM Identity Center
Diprakarsai pengguna
Saat pengguna keluar dari portal AWS akses, sesi masuk berakhir, mencegah pengguna mengakses sumber daya baru apa pun.
Sesi aplikasi yang ada, bagaimanapun, tidak berakhir secara instan. Sebaliknya, mereka akan berakhir dalam waktu sekitar 30 menit, ketika mereka mencoba penyegaran berikutnya dan menemukan sesi masuk tidak lagi valid. Sesi peran IAM yang ada berlanjut hingga kedaluwarsa berdasarkan konfigurasi set izin, yang bisa sampai 12 jam kemudian.
Administrator diprakarsai
Siapa pun yang memiliki izin administratif Pusat Identitas IAM di organisasi Anda, biasanya administrator TI atau tim keamanan, dapat mengakhiri sesi pengguna. Tindakan ini bekerja dengan cara yang sama seperti jika pengguna keluar sendiri, memungkinkan administrator meminta pengguna untuk masuk lagi saat diperlukan. Kemampuan ini berguna ketika kebijakan keamanan berubah atau ketika aktivitas mencurigakan terdeteksi.
Ketika administrator Pusat Identitas IAM menghapus pengguna atau menonaktifkan akses pengguna, pengguna kehilangan akses ke portal AWS akses dan dicegah masuk kembali untuk memulai aplikasi baru atau sesi peran IAM. Pengguna akan kehilangan akses ke sesi aplikasi yang ada dalam waktu 30 menit. Setiap sesi peran IAM yang ada akan dilanjutkan berdasarkan durasi sesi yang dikonfigurasi dalam set izin Pusat Identitas IAM. Durasi sesi maksimum bisa 12 jam.
Apa yang terjadi pada akses pengguna saat Anda mengakhiri sesi
Referensi ini memberikan informasi rinci tentang bagaimana sesi IAM Identity Center berperilaku ketika tindakan administratif diambil. Tabel di bagian ini menunjukkan durasi dan efek tindakan manajemen pengguna dan perubahan izin pada akses ke portal AWS akses, aplikasi, dan Akun AWS sesi.
Manajemen pengguna
Tabel ini merangkum bagaimana perubahan manajemen pengguna memengaruhi akses ke AWS sumber daya, sesi aplikasi, dan sesi AWS akun.
| Tindakan | Pengguna kehilangan akses Pusat Identitas IAM | Pengguna tidak dapat membuat sesi aplikasi baru | Pengguna tidak dapat mengakses sesi aplikasi yang ada | Pengguna kehilangan akses ke Akun AWS sesi yang ada |
|---|---|---|---|---|
| Akses pengguna dinonaktifkan | Efektif segera | Efektif segera | Dalam 30 menit | Dalam waktu 12 jam atau kurang. Durasi tergantung pada durasi kedaluwarsa sesi peran IAM yang dikonfigurasi untuk set izin. |
| Pengguna dihapus | Efektif segera | Efektif segera | Dalam 30 menit | Dalam waktu 12 jam atau kurang. Durasi tergantung pada durasi kedaluwarsa sesi peran IAM yang dikonfigurasi untuk set izin. |
| Sesi pengguna dicabut | Pengguna harus masuk lagi untuk mendapatkan kembali akses | Efektif segera | Dalam 30 menit | Dalam waktu 12 jam atau kurang. Durasi tergantung pada durasi kedaluwarsa sesi peran IAM yang dikonfigurasi untuk set izin. |
| Pengguna keluar | Pengguna harus masuk lagi untuk mendapatkan kembali akses | Efektif segera | Dalam 30 menit | Dalam waktu 12 jam atau kurang. Durasi tergantung pada durasi kedaluwarsa sesi peran IAM yang dikonfigurasi untuk set izin. |
Keanggotaan grup
Tabel ini merangkum bagaimana perubahan izin pengguna dan keanggotaan grup memengaruhi akses ke AWS sumber daya, sesi aplikasi, dan AWS sesi akun.
| Tindakan | Pengguna kehilangan akses Pusat Identitas IAM | Pengguna tidak dapat membuat sesi aplikasi baru | Pengguna tidak dapat mengakses sesi aplikasi yang ada | Pengguna kehilangan akses ke Akun AWS sesi yang ada |
|---|---|---|---|---|
| Aplikasi atau Akun AWS akses dihapus dari pengguna | Tidak - Pengguna dapat terus mengakses Pusat Identitas IAM | Efektif segera | Dalam 1 jam | Dalam waktu 12 jam atau kurang. Durasi tergantung pada durasi kedaluwarsa sesi peran IAM yang dikonfigurasi untuk set izin. |
| Pengguna dihapus dari grup yang memiliki aplikasi yang ditetapkan atau Akun AWS | Tidak - Pengguna dapat terus mengakses Pusat Identitas IAM | Dalam 1 jam | Dalam 2 jam | Dalam waktu 12 jam atau kurang. Durasi tergantung pada durasi kedaluwarsa sesi peran IAM yang dikonfigurasi untuk set izin. |
| Aplikasi atau Akun AWS akses dihapus dari grup | Tidak - Pengguna dapat terus mengakses Pusat Identitas IAM | Efektif segera | Dalam 1 jam | Dalam waktu 12 jam atau kurang. Durasi tergantung pada durasi kedaluwarsa sesi peran IAM yang dikonfigurasi untuk set izin. |
catatan
Portal AWS akses dan AWS CLI akan mencerminkan izin pengguna yang diperbarui dalam waktu 1 jam setelah Anda menambah atau menghapus pengguna dari grup tersebut.
Memahami perbedaan waktu
-
Efektif segera — Tindakan yang memerlukan autentikasi ulang segera.
-
Dalam 30 menit - 2 jam - Sesi aplikasi membutuhkan waktu untuk memeriksa dengan IAM Identity Center dan menemukan perubahan apa pun.
-
Dalam waktu 12 jam atau kurang - sesi peran IAM beroperasi secara independen dan hanya berakhir ketika durasi yang dikonfigurasi berakhir.
Keluar tunggal
IAM Identity Center tidak mendukung SAMP Single Logout (protokol yang secara otomatis membuat pengguna keluar dari semua aplikasi yang terhubung saat mereka keluar dari satu aplikasi) yang diprakarsai oleh penyedia identitas yang bertindak sebagai sumber identitas Anda. Selain itu, ia tidak mengirim SAMP Single Logout ke aplikasi SAMP 2.0 yang menggunakan IAM Identity Center sebagai penyedia identitas.
Praktik terbaik untuk manajemen sesi
Manajemen sesi yang efektif membutuhkan konfigurasi dan pemantauan yang bijaksana. Organizations harus mengonfigurasi durasi sesi yang sesuai dengan persyaratan keamanan mereka, umumnya menggunakan durasi yang lebih pendek untuk aplikasi dan lingkungan yang sensitif.
Menerapkan proses untuk mengakhiri sesi ketika pengguna mengubah peran atau meninggalkan organisasi sangat penting untuk menjaga batas-batas keamanan. Tinjauan rutin sesi aktif harus dimasukkan ke dalam praktik pemantauan keamanan untuk mendeteksi perilaku anomali yang mungkin mengindikasikan masalah keamanan, seperti pola akses yang tidak biasa, waktu masuk atau lokasi yang tidak terduga, atau akses ke sumber daya di luar fungsi pekerjaan normal.
