外部 IdP、AWS CLI、および AWS SDK を使用する際のセッション期間に関する考慮事項 - AWS IAM Identity Center
Amazon Q Developer の外部 ID プロバイダー、ユーザーインタラクティブセッション、および拡張セッションAWS CLI と SDK セッション

外部 IdP、AWS CLI、および AWS SDK を使用する際のセッション期間に関する考慮事項

以下は、外部 ID プロバイダー (IdP)、AWS Command Line Interface、AWS Software Development Kit (SDK)、またはその他の AWS 開発ツールを使用してプログラムで AWS サービスにアクセスする場合のセッション期間の設定に関する考慮事項です。

Amazon Q Developer の外部 ID プロバイダー、ユーザーインタラクティブセッション、および拡張セッション

外部 ID プロバイダー (IdP) を使用していて、Amazon Q Developer のユーザーインタラクティブセッションまたは拡張セッションのセッション期間を設定する場合は、次の考慮事項に留意してください。

注記

これらの考慮事項は、ユーザーのバックグラウンドセッションには適用されません。

IAM アイデンティティセンターは SAML アサーションの SessionNotOnOrAfter 属性を使用して、セッションを有効に維持できる期間を決定します。

  • SAML アサーションで SessionNotOnOrAfter が渡されない場合、AWS アクセスポータルセッションの期間は、外部 IdP セッション期間に影響されません。例えば、IdP セッション時間が 24 時間で、IAM アイデンティティセンターで 18 時間のセッション時間を設定した場合、ユーザーは 18 時間後に AWS アクセスポータルで再認証する必要があります。

  • SAML アサーションで SessionNotOnOrAfter が渡された場合、セッション期間の値は、AWS アクセスポータルセッション期間と SAML IdP セッション期間のうちの短い方に設定されます。IAM アイデンティティセンターで 72 時間のセッション期間を設定し、IdP のセッション期間が 18 時間の場合、ユーザーは IdP で定義されている 18 時間の間、AWS リソースにアクセスできます。

  • IdP のセッション期間が IAM アイデンティティセンターで設定されたセッション期間よりも長い場合、ユーザーは IdP との有効なログインセッションに基づいて、認証情報を再入力することなく、新しい IAM アイデンティティセンターセッションを開始できます。

AWS CLI と SDK セッション

AWS CLI、AWS SDK、またはその他の AWS 開発ツールを使用してプログラムで AWS サービスにアクセスする場合、AWS アクセスポータルと AWS マネージドアプリケーションのセッション期間の設定を適用するには、次の前提条件を満たす必要があります。

  • IAM Identity Center コンソールで AWS アクセスポータルセッションの期間を設定する必要があります。

  • 共有 AWS 設定ファイルでシングルサインオン設定用のプロファイルを定義する必要があります。このプロファイルは、AWS アクセスポータルへの接続に使用されます。SSO トークンプロバイダーの設定を使用することをお勧めします。この設定を使用して、AWS SDK、またはツールは、更新された認証トークンを自動的に取得できます。詳細については、「AWS SDK とツールリファレンスガイド」の「SSO トークンプロバイダーの設定」を参照してください。

  • ユーザーは、セッション管理をサポートするバージョンの AWS CLI または SDK を実行する必要があります。

AWS CLI セッション管理をサポートする最小バージョン

AWS CLI セッション管理をサポートする最小バージョンは次のとおりです。

  • AWS CLI V2 2.9 以降

  • AWS CLI V1 1.27.10 以降

注記

アカウントアクセスのユースケースでは、ユーザーが AWS CLI を実行している場合、IAM アイデンティティセンターセッションの有効期限が切れる直前に権限セットを更新し、セッション期間を 20 時間に設定し、アクセス権限セットの期間を 12 時間に設定すると、AWS CLI セッションは最大 20 時間に 12 時間を加えた合計 32 時間が実行されます。IAM Identity Center CLI の使用の詳細については、AWS CLIコマンドリファレンス を参照してください。

IAM アイデンティティセンターのセッション管理をサポートする SDK の最小バージョン

IAM アイデンティティセンターのセッション管理をサポートする SDK の最小バージョンは次のとおりです。

SDK 最小バージョン
Python (パイソン) 1.26.10
PHP 3.245.0
Ruby aws-sdk-core 3.167.0
Java V2 AWS SDK for Java v2 (2.18.13)
Go V2 SDK 全体: リリース-2022-11-11 および特定の Go モジュール: 認証情報/v1.13.0、構成/v1.18.0
JS V2 2.1253.0
JS V3 v3.210.0
C++ 1.9.372
.NET v3.7.400.0