翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM Identity Center の認証セッションについて
ユーザーが AWS アクセスポータルにサインインすると、IAM Identity Center は、ユーザーの検証済み ID を表す認証セッションを作成します。
認証されると、ユーザーは、管理者が使用するアクセス許可を付与した AWS アカウント、割り当てられたAWS マネージドアプリケーションとカスタマーマネージドアプリケーションのすべてに、追加のサインインなしでアクセスできます。
認証セッションのタイプ
ユーザーインタラクティブセッション
ユーザーが AWS アクセスポータルにサインインすると、IAM Identity Center はユーザーインタラクティブセッションを作成します。このセッションは、IAM Identity Center 内のユーザーの認証状態を表し、他のセッションタイプを作成するための基盤として機能します。ユーザーインタラクティブセッションは、IAM Identity Center で設定された期間、最大 90 日間継続できます。
ユーザーインタラクティブセッションは、主要な認証メカニズムです。ユーザーがサインアウトするか、管理者がセッションを終了すると終了します。これらのセッションの期間は、組織のセキュリティ要件に基づいて慎重に設定する必要があります。
ユーザーインタラクティブセッション期間の設定については、「」を参照してくださいIAM Identity Center でセッション期間を設定する。
アプリケーションセッション
アプリケーションセッションは、IAM アイデンティティセンターがシングルサインオンを通じて確立する、ユーザーと AWS マネージドアプリケーション (Amazon Q Developer や Amazon Quick Suite など) 間の認証された接続です。
デフォルトでは、アプリケーションセッションの有効期間は 1 時間ですが、基盤となるユーザーのインタラクティブセッションが有効である限り、自動的に更新されます。この更新メカニズムは、セキュリティコントロールを維持しながら、ユーザーにシームレスなエクスペリエンスを提供します。ユーザーのサインアウトまたは管理者アクションを通じてユーザーのインタラクティブセッションが終了すると、アプリケーションセッションは、通常 30 分以内に次の更新試行で終了します。
ユーザーバックグラウンドセッション
ユーザーバックグラウンドセッションは、中断することなく数時間または数日間プロセスを実行する必要があるアプリケーション用に設計された、長期間のセッションです。現在、このセッションタイプは主に Amazon SageMaker Studio に適用されます。Amazon SageMaker Studio では、データサイエンティストが機械学習トレーニングジョブを実行するため、完了までに数時間かかる場合があります。
ユーザーバックグラウンドセッション期間の設定については、「ユーザーバックグラウンドセッション」を参照してください。
Amazon Q Developer セッション
Amazon Q Developer セッションを拡張して、デベロッパーが IDEs で Amazon Q Developer を使用して認証を最大 90 日間維持できるようにします。この機能は、コード作業中のログインの中断を減らします。
これらのセッションは他のセッションタイプから独立しており、ユーザーのインタラクティブセッションやその他の AWS マネージドアプリケーションには影響しません。IAM Identity Center を有効にした時期によっては、この機能がデフォルトで有効になっている場合があります。
拡張 Amazon Q Developer セッションの設定については、「」を参照してくださいAmazon Q Developer の拡張セッション。
IAM Identity Center が作成した IAM ロールセッション
IAM Identity Center は、ユーザーが AWS Management Console または にアクセスするときに別のタイプのセッションを作成します AWS CLI。このような場合、IAM Identity Center はサインインセッションを使用して、ユーザーのアクセス許可セットで指定された IAM ロールを引き受けて IAM セッションを取得します。
重要
アプリケーションセッションとは異なり、IAM ロールセッションは一度確立されると独立して動作します。アクセス許可セットで設定された期間は保持されます。元のサインインセッションのステータスに関係なく、最大 12 時間です。この動作により、長時間実行される CLI オペレーションやコンソールセッションが予期せず終了することはありません。
IAM Identity Center でエンドユーザーセッションを行う方法
ユーザー主導
ユーザーが AWS アクセスポータルからサインアウトすると、サインインセッションが終了し、ユーザーが新しいリソースにアクセスできなくなります。
ただし、既存のアプリケーションセッションはすぐに終了しません。代わりに、次の更新を試みてサインインセッションが無効になったことが判明すると、約 30 分以内に終了します。既存の IAM ロールセッションは、アクセス許可セット設定に基づいて有効期限が切れるまで継続します。有効期限は最大 12 時間です。
管理者主導
組織内の IAM Identity Center 管理権限を持つユーザー、通常は IT 管理者またはセキュリティチームが、ユーザーのセッションを終了できます。このアクションは、ユーザーが自分自身にサインアウトした場合と同じように機能するため、管理者は必要に応じてユーザーに再度サインインするように要求できます。この機能は、セキュリティポリシーが変更された場合や疑わしいアクティビティが検出された場合に役立ちます。
IAM Identity Center 管理者がユーザーを削除するか、ユーザーのアクセスを無効にすると、ユーザーは AWS アクセスポータルにアクセスできなくなり、サインインし直して新しいアプリケーションまたは IAM ロールセッションを開始できなくなります。ユーザーは 30 分以内に既存のアプリケーションセッションにアクセスできなくなります。既存の IAM ロールセッションは、IAM Identity Center アクセス許可セットで設定されたセッション期間に基づいて続行されます。最大セッション期間は 12 時間です。
セッションを終了するとユーザーアクセスがどうなるか
このリファレンスでは、管理アクションを実行したときの IAM Identity Center セッションの動作に関する詳細情報を提供します。このセクションの表は、 AWS アクセスポータル、アプリケーション、および AWS アカウント セッションへのアクセスに対するユーザー管理アクションとアクセス許可の変更の期間と影響を示しています。
ユーザー管理
この表は、ユーザー管理の変更が AWS リソース、アプリケーションセッション、 AWS アカウントセッションへのアクセスにどのように影響するかをまとめたものです。
| アクション | ユーザーが IAM Identity Center アクセスを失った | ユーザーが新しいアプリケーションセッションを作成できない | ユーザーが既存のアプリケーションセッションにアクセスできない | ユーザーが既存の AWS アカウント セッションにアクセスできなくなる |
|---|---|---|---|---|
| ユーザーのアクセスが無効 | 即時に有効 | 即時に有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| ユーザーの削除 | 即時に有効 | 即時に有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| ユーザーセッションが取り消されました | アクセスを回復するには、ユーザーが再度サインインする必要があります | 即時に有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| ユーザーがサインアウトする | アクセスを回復するには、ユーザーが再度サインインする必要があります | 即時に有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
グループのメンバーシップ
この表は、ユーザーアクセス許可とグループメンバーシップの変更が、 AWS リソース、アプリケーションセッション、 AWS アカウントセッションへのアクセスにどのように影響するかをまとめたものです。
| アクション | ユーザーが IAM Identity Center アクセスを失った | ユーザーが新しいアプリケーションセッションを作成できない | ユーザーが既存のアプリケーションセッションにアクセスできない | ユーザーが既存の AWS アカウント セッションにアクセスできなくなる |
|---|---|---|---|---|
| ユーザーから削除されたアプリケーションまたは AWS アカウント アクセス | いいえ - ユーザーは引き続き IAM Identity Center にアクセスできます | 即時に有効 | 1 時間以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| アプリケーションまたは が割り当てられたグループから削除されたユーザー AWS アカウント | いいえ - ユーザーは引き続き IAM Identity Center にアクセスできます | 1 時間以内 | 2 時間以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| グループから削除されたアプリケーションまたは AWS アカウント アクセス | いいえ - ユーザーは引き続き IAM Identity Center にアクセスできます | 即時に有効 | 1 時間以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
注記
AWS アクセスポータル と AWS CLI には、そのグループからユーザーを追加または削除してから 1 時間以内に更新されたユーザーアクセス許可が反映されます。
タイミングの違いを理解する
-
有効 – 即時の再認証が必要なアクション。
-
30 分~2 時間以内 – アプリケーションセッションは、IAM Identity Center で確認し、変更を検出する時間が必要です。
-
12 時間以内 – IAM ロールセッションは独立して動作し、設定された期間が経過した場合にのみ終了します。
シングルログアウト
IAM Identity Center は、ID ソースとして機能する ID プロバイダーによって開始された SAML Single Logout (接続されたすべてのアプリケーションからユーザーがサインアウトするときに自動的にサインアウトするプロトコル) をサポートしていません。さらに、IAM アイデンティティセンターを ID プロバイダーとして使用する SAML 2.0 アプリケーションには SAML シングルログアウトを送信しません。
セッション管理のベストプラクティス
効果的なセッション管理には、慎重な設定とモニタリングが必要です。組織は、セキュリティ要件に適したセッション期間を設定する必要があります。一般的に、機密性の高いアプリケーションや環境では短い期間を使用します。
ユーザーがロールを変更したり、組織を離れたりするときにセッションを終了するプロセスを実装することは、セキュリティの境界を維持するために不可欠です。アクティブなセッションの定期的なレビューをセキュリティモニタリングプラクティスに組み込み、異常なアクセスパターン、予期しないログイン時間や場所、通常の職務外のリソースへのアクセスなど、セキュリティ上の問題を示す可能性のある異常な動作を検出する必要があります。
