翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM アイデンティティセンターの認証セッションについて
ユーザーが AWS アクセスポータルにサインインすると、IAM アイデンティティセンターは、ユーザーの検証済み ID を表す認証セッションを作成します。
認証されると、ユーザーは AWS アカウント、管理者が使用するアクセス許可を付与した、割り当てられたAWS マネージドアプリケーションとカスタマーマネージドアプリケーションのすべてに、追加のサインインなしでアクセスできます。
認証セッションのタイプ
ユーザーインタラクティブセッション
ユーザーが AWS アクセスポータルにサインインすると、IAM Identity Center はユーザーのインタラクティブセッションを作成します。このセッションは、IAM アイデンティティセンター内のユーザーの認証状態を表し、他のセッションタイプを作成するための基盤として機能します。ユーザーインタラクティブセッションは、IAM アイデンティティセンターで設定された期間、最大 90 日間継続できます。
ユーザーインタラクティブセッションは、主要な認証メカニズムです。これらは、ユーザーがサインアウトしたとき、または管理者がセッションを終了したときに終了します。これらのセッションの期間は、組織のセキュリティ要件に基づいて慎重に設定する必要があります。
ユーザーインタラクティブセッション期間の設定については、「IAM アイデンティティセンターでセッション期間を設定する」を参照してください。
アプリケーションセッション
アプリケーションセッションは、IAM アイデンティティセンターがシングルサインオンを通じて確立する、ユーザーと AWS マネージドアプリケーション (Kiro や Amazon Quick Suite など) 間の認証された接続です。
デフォルトでは、アプリケーションセッションの有効期間は 1 時間ですが、基盤となるユーザーのインタラクティブセッションが有効である限り、自動的に更新されます。この更新メカニズムは、セキュリティコントロールを維持しながら、ユーザーにシームレスなエクスペリエンスを提供します。ユーザーのサインアウトまたは管理者アクションを通じてユーザーのインタラクティブセッションが終了すると、アプリケーションセッションは、通常 30 分以内に次の更新試行で終了します。
ユーザーバックグラウンドセッション
ユーザーバックグラウンドセッションは、中断することなく数時間または数日間プロセスを実行する必要があるアプリケーション用に設計された、長期間のセッションです。現在、このセッションタイプは主に Amazon SageMaker Studio に適用されます。Amazon SageMaker Studio では、データサイエンティストが機械学習トレーニングジョブを実行するため、完了までに数時間かかる場合があります。
ユーザーバックグラウンドセッション期間の設定については、「ユーザーバックグラウンドセッション」を参照してください。
Kiro セッション
Kiro セッションを拡張して、開発者が IDEs で Kiro を使用して認証を最大 90 日間維持できるようにします。この機能は、コード作業中のログインの中断を減らします。
これらのセッションは他のセッションタイプから独立しており、ユーザーのインタラクティブセッションやその他の AWS マネージドアプリケーションには影響しません。IAM アイデンティティセンターを有効にした時期によっては、この機能がデフォルトで有効になっている場合があります。
拡張 Kiro セッションの設定については、「」を参照してくださいKiro の拡張セッション。
IAM アイデンティティセンターで作成された IAM ロールセッション
IAM Identity Center は、ユーザーが AWS マネジメントコンソール または にアクセスするときに別のタイプのセッションを作成します AWS CLI。このような場合、IAM アイデンティティセンターはサインインセッションを使用して、ユーザーのアクセス許可セットで指定された IAM ロールを引き受けて IAM セッションを取得します。
重要
アプリケーションセッションとは異なり、IAM ロールセッションは一度確立されると独立して動作します。アクセス許可セットで設定された期間は保持されます。元のサインインセッションのステータスに関係なく、最大 12 時間です。この動作により、長時間実行される CLI オペレーションやコンソールセッションが予期せず終了することはありません。
IAM アイデンティティセンターでエンドユーザーセッションを行う方法
ユーザー主導
ユーザーが AWS アクセスポータルからサインアウトすると、サインインセッションは終了し、ユーザーは新しいリソースにアクセスできなくなります。
ただし、既存のアプリケーションセッションはすぐに終了しません。代わりに、次の更新を試みてサインインセッションが無効になったことが判明すると、約 30 分以内に終了します。既存の IAM ロールセッションは、アクセス許可セット設定に基づいて有効期限が切れるまで継続します。有効期限は最大 12 時間です。
管理者主導
組織内の IAM アイデンティティセンター管理権限を持つユーザー、通常は IT 管理者またはセキュリティチームが、ユーザーのセッションを終了できます。このアクションは、ユーザーが自分でサインアウトした場合と同じように機能するため、管理者は必要に応じてユーザーに再度サインインするように要求できます。この機能は、セキュリティポリシーが変更された場合や疑わしいアクティビティが検出された場合に役立ちます。
IAM アイデンティティセンター管理者がユーザーを削除するか、ユーザーのアクセスを無効にすると、そのユーザーは AWS アクセスポータルにアクセスできなくなり、新しいアプリケーションまたは IAM ロールセッションを開始するためにサインインし直すことができなくなります。ユーザーは 30 分以内に既存のアプリケーションセッションにアクセスできなくなります。既存の IAM ロールセッションは、IAM アイデンティティセンターアクセス許可セットで設定されたセッション持続時間に基づいて継続されます。セッションの最大継続時間は 12 時間となります。
セッションを終了するとユーザーアクセスがどうなるか
このリファレンスでは、管理アクションを実行したときの IAM アイデンティティセンターセッションの動作に関する詳細情報を提供します。このセクションの表は、 AWS アクセスポータル、アプリケーション、および AWS アカウント セッションへのアクセスに対するユーザー管理アクションとアクセス許可の変更の期間と影響を示しています。
ユーザー管理
この表は、ユーザー管理の変更が AWS リソース、アプリケーションセッション、 AWS アカウントセッションへのアクセスにどのように影響するかをまとめたものです。
| Action | ユーザーが IAM アイデンティティセンターにアクセスできなくなる | ユーザーが新しいアプリケーションセッションを作成できない | ユーザーが既存のアプリケーションセッションにアクセスできない | ユーザーが既存の AWS アカウント セッションにアクセスできなくなる |
|---|---|---|---|---|
| ユーザーのアクセスが無効 | すぐに有効 | すぐに有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| ユーザーを削除しました | すぐに有効 | すぐに有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| ユーザーセッションが取り消されました | アクセスを回復するには、ユーザーが再度サインインする必要があります | すぐに有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| ユーザーがサインアウトする | アクセスを回復するには、ユーザーが再度サインインする必要があります | すぐに有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
グループメンバーシップ
この表は、ユーザーアクセス許可とグループメンバーシップの変更が、 AWS リソース、アプリケーションセッション、 AWS アカウントセッションへのアクセスにどのように影響するかをまとめたものです。
| Action | ユーザーが IAM アイデンティティセンターにアクセスできなくなる | ユーザーが新しいアプリケーションセッションを作成できない | ユーザーが既存のアプリケーションセッションにアクセスできない | ユーザーが既存の AWS アカウント セッションにアクセスできなくなる |
|---|---|---|---|---|
| ユーザーから削除されたアプリケーションまたは AWS アカウント アクセス | いいえ - ユーザーは引き続き IAM アイデンティティセンターにアクセスできます | すぐに有効 | 1 時間以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| アプリケーションまたは AWS アカウントが割り当てられたグループから削除されたユーザー | いいえ - ユーザーは引き続き IAM アイデンティティセンターにアクセスできます | 1 時間以内 | 2 時間以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| グループから削除されたアプリケーションまたは AWS アカウント アクセス | いいえ - ユーザーは引き続き IAM アイデンティティセンターにアクセスできます | すぐに有効 | 1 時間以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
注記
AWS アクセスポータルと AWS CLI には、そのグループでユーザーを追加または削除してから 1 時間以内に更新されたユーザーアクセス許可が反映されます。
タイミングの違いを理解する
-
即時有効 – 即時の再認証が必要なアクション。
-
30 分~2 時間以内 – アプリケーションセッションは、IAM アイデンティティセンターで確認し、変更を検出する時間が必要です。
-
12 時間以内 – IAM ロールセッションは独立して動作し、設定された期間が経過した場合にのみ終了します。
シングルログアウト
IAM アイデンティティセンターは、ID ソースとして機能する ID プロバイダーによって開始された SAML Single Logout (接続されたすべてのアプリケーションからユーザーがサインアウトするときに自動的にサインアウトするプロトコル) をサポートしていません。さらに、IAM アイデンティティセンターを ID プロバイダーとして使用する SAML 2.0 アプリケーションには SAML Single Logout を送信しません。
セッション管理のベストプラクティス
効果的なセッション管理には、慎重な設定とモニタリングが必要です。組織は、セキュリティ要件に適したセッション期間を設定する必要があります。一般的に、機密性の高いアプリケーションや環境では短い期間を使用します。
ユーザーがロールを変更したり、組織を離れたりするときにセッションを終了するプロセスを実装することは、セキュリティの境界を維持するために不可欠です。アクティブなセッションの定期的なレビューをセキュリティモニタリングプラクティスに組み込み、異常なアクセスパターン、予期しないログイン時間や場所、通常の職務外のリソースへのアクセスなど、セキュリティ上の問題を示す可能性のある異常な動作を検出する必要があります。
