Comprendere le sessioni di autenticazione in IAM Identity Center - AWS IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprendere le sessioni di autenticazione in IAM Identity Center

Quando un utente AWS accede al portale di accesso, IAM Identity Center crea una sessione di autenticazione che rappresenta l'identità verificata dell'utente.

Una volta autenticato, l'utente può accedere a tutte le applicazioni assegnate Account AWS e AWS gestite dal cliente e alle applicazioni gestite dal cliente per le quali gli amministratori hanno concesso l'autorizzazione all'uso, senza accessi aggiuntivi.

Tipi di sessioni di autenticazione

Sessioni interattive per utenti

Dopo che un utente ha effettuato l'accesso al portale di AWS accesso, IAM Identity Center crea una sessione interattiva per l'utente. Questa sessione rappresenta lo stato di autenticazione dell'utente all'interno di IAM Identity Center e funge da base per la creazione di altri tipi di sessione. Le sessioni interattive con l'utente possono durare per la durata configurata in IAM Identity Center, che può arrivare fino a 90 giorni.

Le sessioni interattive con l'utente sono il meccanismo di autenticazione principale. Terminano quando l'utente si disconnette o quando un amministratore termina la sessione. La durata di queste sessioni deve essere configurata con cura in base ai requisiti di sicurezza dell'organizzazione.

Per informazioni sulla configurazione della durata della sessione interattiva dell'utente, vedereConfigura la durata della sessione in IAM Identity Center.

Sessioni applicative

Le sessioni applicative sono le connessioni autenticate tra utenti e applicazioni AWS gestite (come Amazon Q Developer o Amazon Quick Suite) che IAM Identity Center stabilisce tramite Single Sign-On.

Per impostazione predefinita, le sessioni applicative hanno una durata di un'ora, ma vengono aggiornate automaticamente finché la sessione interattiva utente sottostante rimane valida. Questo meccanismo di aggiornamento offre agli utenti un'esperienza senza interruzioni, pur mantenendo i controlli di sicurezza. Al termine di una sessione interattiva dell'utente, tramite la disconnessione dell'utente o un'azione dell'amministratore, le sessioni dell'applicazione terminano al successivo tentativo di aggiornamento, in genere entro 30 minuti.

Sessioni utente in background

Le sessioni utente in background sono sessioni di lunga durata progettate per applicazioni che devono eseguire processi per ore o giorni senza interruzioni. Attualmente, questo tipo di sessione si applica principalmente ad Amazon SageMaker Studio, dove i data scientist possono eseguire lavori di formazione sull'apprendimento automatico che richiedono molte ore per essere completati.

Per informazioni sulla configurazione della durata della sessione utente in background, consulta Sessioni utente in background.

Sessioni Amazon Q Developer

Puoi estendere le sessioni di Amazon Q Developer per consentire agli sviluppatori che utilizzano Amazon Q Developer di IDEs mantenere l'autenticazione per un massimo di 90 giorni. Questa funzionalità riduce le interruzioni di accesso mentre lavori sul codice.

Queste sessioni sono indipendenti da altri tipi di sessione e non influiscono sulle sessioni interattive degli utenti o su altre applicazioni AWS gestite. A seconda di quando hai abilitato IAM Identity Center, questa funzionalità potrebbe essere abilitata per impostazione predefinita.

Per informazioni sulla configurazione di sessioni estese di Amazon Q Developer, consultaSessioni estese per Amazon Q Developer.

Sessioni di ruolo IAM create da IAM Identity Center

IAM Identity Center crea un tipo diverso di sessione quando gli utenti accedono alla AWS Management Console sala operatoria. AWS CLI In questi casi, IAM Identity Center utilizza la sessione di accesso per ottenere una sessione IAM assumendo un ruolo IAM specificato nel set di autorizzazioni dell'utente.

Importante

A differenza delle sessioni applicative, le sessioni di ruolo IAM operano in modo indipendente una volta stabilite. Persistono per la durata configurata nel set di autorizzazioni, che può arrivare fino a 12 ore, indipendentemente dallo stato della sessione di accesso originale. Questo comportamento garantisce che le operazioni CLI o le sessioni della console a esecuzione prolungata non vengano interrotte in modo imprevisto.

Modi per terminare le sessioni utente in IAM Identity Center

Iniziato dall'utente

Quando un utente si disconnette dal portale di AWS accesso, la sessione di accesso termina, impedendo all'utente di accedere a nuove risorse.

Le sessioni applicative esistenti, tuttavia, non terminano all'istante. Al contrario, termineranno entro circa 30 minuti, quando tenteranno il prossimo aggiornamento e scopriranno che la sessione di accesso non è più valida. Le sessioni di ruolo IAM esistenti continuano fino alla scadenza in base alla configurazione del set di autorizzazioni, che potrebbe avvenire fino a 12 ore dopo.

Avviato dall'amministratore

Chiunque disponga delle autorizzazioni amministrative di IAM Identity Center nell'organizzazione, in genere amministratori IT o team di sicurezza, può terminare la sessione di un utente. Questa azione funziona come se gli utenti si disconnettessero autonomamente, permettendo agli amministratori di richiedere agli utenti di effettuare nuovamente l'accesso quando necessario. Questa funzionalità è utile quando le politiche di sicurezza cambiano o quando vengono rilevate attività sospette.

Quando un amministratore di IAM Identity Center elimina un utente o disabilita l'accesso di un utente, l'utente perde l'accesso al portale di AWS accesso e gli viene impedito di accedere nuovamente per avviare una nuova applicazione o sessione di ruolo IAM. L'utente perderà l'accesso alle sessioni applicative esistenti entro 30 minuti. Tutte le sessioni di ruolo IAM esistenti continueranno in base alla durata della sessione configurata nel set di autorizzazioni IAM Identity Center. La durata massima della sessione può essere di 12 ore.

Cosa succede all'accesso degli utenti quando si termina una sessione

Questo riferimento fornisce informazioni dettagliate su come si comportano le sessioni di IAM Identity Center quando vengono intraprese azioni amministrative. Le tabelle di questa sezione mostrano la durata e gli effetti delle azioni di gestione degli utenti e delle modifiche delle autorizzazioni sull'accesso al portale di AWS accesso, alle applicazioni e alle Account AWS sessioni.

Gestione degli utenti

Questa tabella riassume in che modo le modifiche alla gestione degli utenti influiscono sull'accesso alle AWS risorse, alle sessioni dell'applicazione e alle sessioni AWS dell'account.

Azione L'utente perde l'accesso a IAM Identity Center L'utente non può creare nuove sessioni applicative L'utente non può accedere alle sessioni applicative esistenti L'utente perde l'accesso alle Account AWS sessioni esistenti
Accesso dell'utente disabilitato Efficace immediatamente Efficace immediatamente Entro 30 minuti Entro 12 ore o meno. La durata dipende dalla durata di scadenza della sessione di ruolo IAM configurata per il set di autorizzazioni.
Utente eliminato Efficace immediatamente Efficace immediatamente Entro 30 minuti Entro 12 ore o meno. La durata dipende dalla durata di scadenza della sessione di ruolo IAM configurata per il set di autorizzazioni.
Sessione utente revocata L'utente deve effettuare nuovamente l'accesso per riottenere l'accesso Efficace immediatamente Entro 30 minuti Entro 12 ore o meno. La durata dipende dalla durata di scadenza della sessione di ruolo IAM configurata per il set di autorizzazioni.
L'utente si disconnette L'utente deve effettuare nuovamente l'accesso per riottenere l'accesso Efficace immediatamente Entro 30 minuti Entro 12 ore o meno. La durata dipende dalla durata di scadenza della sessione di ruolo IAM configurata per il set di autorizzazioni.

Appartenenza a un gruppo

Questa tabella riassume in che modo le modifiche alle autorizzazioni degli utenti e alle appartenenze ai gruppi influiscono sull'accesso alle AWS risorse, alle sessioni delle applicazioni e alle sessioni dell'account. AWS

Azione L'utente perde l'accesso a IAM Identity Center L'utente non può creare nuove sessioni applicative L'utente non può accedere alle sessioni applicative esistenti L'utente perde l'accesso alle Account AWS sessioni esistenti
Applicazione o Account AWS accesso rimossi dall'utente No: l'utente può continuare ad accedere a IAM Identity Center Efficace immediatamente Entro 1 ora Entro 12 ore o meno. La durata dipende dalla durata di scadenza della sessione di ruolo IAM configurata per il set di autorizzazioni.
Utente rimosso dal gruppo a cui era stata assegnata un'applicazione o Account AWS No: l'utente può continuare ad accedere a IAM Identity Center Entro 1 ora Entro 2 ore Entro 12 ore o meno. La durata dipende dalla durata di scadenza della sessione di ruolo IAM configurata per il set di autorizzazioni.
Applicazione o Account AWS accesso rimossi dal gruppo No: l'utente può continuare ad accedere a IAM Identity Center Efficace immediatamente Entro 1 ora Entro 12 ore o meno. La durata dipende dalla durata di scadenza della sessione di ruolo IAM configurata per il set di autorizzazioni.
Nota

Il portale di AWS accesso AWS CLI rifletterà le autorizzazioni utente aggiornate entro 1 ora dall'aggiunta o dalla rimozione di un utente da quel gruppo.

Comprendere le differenze temporali
  • Efficace immediatamente: azioni che richiedono una riautenticazione immediata.

  • Entro 30 minuti - 2 ore: le sessioni applicative richiedono tempo per verificare con IAM Identity Center e scoprire eventuali modifiche.

  • Entro 12 ore o meno, le sessioni di ruolo IAM funzionano in modo indipendente e terminano solo alla scadenza della durata configurata.

Disconnessione singola

IAM Identity Center non supporta SAML Single Logout (un protocollo che disconnette automaticamente gli utenti da tutte le applicazioni connesse quando si disconnettono da una) avviato da un provider di identità che funge da fonte di identità. Inoltre, non invia SAML Single Logout alle applicazioni SAML 2.0 che utilizzano IAM Identity Center come provider di identità.

Le migliori pratiche per la gestione delle sessioni

Una gestione efficace delle sessioni richiede una configurazione e un monitoraggio accurati. Le organizzazioni devono configurare la durata delle sessioni in base ai propri requisiti di sicurezza, in genere utilizzando durate più brevi per applicazioni e ambienti sensibili.

L'implementazione di processi per terminare le sessioni quando gli utenti cambiano ruolo o lasciano l'organizzazione è essenziale per mantenere i limiti di sicurezza. La revisione regolare delle sessioni attive dovrebbe essere integrata nelle pratiche di monitoraggio della sicurezza per rilevare comportamenti anomali che potrebbero indicare problemi di sicurezza, come modelli di accesso insoliti, orari o luoghi di accesso imprevisti o accesso a risorse al di fuori delle normali funzioni lavorative.