Entendendo as sessões de autenticação no IAM Identity Center - AWS IAM Identity Center
Tipos de sessões de autenticaçãoFormas de encerrar as sessões do usuárioO que acontece com o acesso do usuário quando você encerra uma sessãoLogout únicoMelhores práticas para gerenciamento de sessões

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Entendendo as sessões de autenticação no IAM Identity Center

Quando um usuário faz login no portal de AWS acesso, o IAM Identity Center cria uma sessão de autenticação que representa a identidade verificada do usuário.

Depois de autenticado, o usuário pode acessar todos os aplicativos atribuídos Contas da AWS e AWS gerenciados pelo cliente que os administradores lhes concederam permissão para usar, sem logins adicionais.

Tipos de sessões de autenticação

Sessões interativas do usuário

Depois que um usuário faz login no portal de AWS acesso, o IAM Identity Center cria uma sessão interativa com o usuário. Essa sessão representa o estado autenticado do usuário no IAM Identity Center e serve como base para a criação de outros tipos de sessão. As sessões interativas com o usuário podem durar a duração configurada no IAM Identity Center, que pode ser de até 90 dias.

As sessões interativas do usuário são o principal mecanismo de autenticação. Eles terminam quando o usuário sai ou quando um administrador encerra a sessão. A duração dessas sessões deve ser cuidadosamente configurada com base nos requisitos de segurança da sua organização.

Para obter informações sobre como configurar a duração da sessão interativa do usuário, consulteConfigure a duração da sessão no IAM Identity Center.

Sessões de inscrição

As sessões de aplicativos são as conexões autenticadas entre usuários e aplicativos AWS gerenciados (como o Amazon Q Developer ou o Amazon Quick Suite) que o IAM Identity Center estabelece por meio de login único.

Por padrão, as sessões do aplicativo têm vida útil de uma hora, mas são atualizadas automaticamente, desde que a sessão interativa do usuário subjacente permaneça válida. Esse mecanismo de atualização fornece uma experiência perfeita para os usuários, mantendo os controles de segurança. Quando uma sessão interativa do usuário termina, seja por meio da saída do usuário ou da ação do administrador, as sessões do aplicativo terminam na próxima tentativa de atualização, normalmente em 30 minutos.

Sessões de fundo do usuário

As sessões em segundo plano do usuário são sessões de duração prolongada projetadas para aplicativos que precisam executar processos por horas ou dias sem interrupção. Atualmente, esse tipo de sessão se aplica principalmente ao Amazon SageMaker Studio, onde cientistas de dados podem executar trabalhos de treinamento de aprendizado de máquina que levam muitas horas para serem concluídos.

Para obter informações sobre como configurar a duração da sessão em segundo plano do usuário, consulte Sessões em segundo plano do usuário.

Sessões para desenvolvedores do Amazon Q

Você pode estender as sessões do Amazon Q Developer para permitir que os desenvolvedores que usam o Amazon Q Developer mantenham IDEs a autenticação por até 90 dias. Esse recurso reduz as interrupções de login enquanto você trabalha no código.

Essas sessões são independentes de outros tipos de sessão e não afetam as sessões interativas do usuário ou outros aplicativos AWS gerenciados. Dependendo de quando você ativou o IAM Identity Center, esse recurso pode estar ativado por padrão.

Para obter informações sobre a configuração de sessões estendidas do Amazon Q Developer, consulteSessões estendidas para Amazon Q Developer.

Sessões de função do IAM criadas pelo IAM Identity Center

O IAM Identity Center cria um tipo diferente de sessão quando os usuários acessam o AWS Management Console ou AWS CLI. Nesses casos, o IAM Identity Center usa a sessão de login para obter uma sessão do IAM assumindo uma função do IAM especificada no conjunto de permissões do usuário.

Importante

Diferentemente das sessões de aplicativos, as sessões de função do IAM operam de forma independente depois de estabelecidas. Eles persistem pela duração configurada no conjunto de permissões, que pode ser de até 12 horas, independentemente do status da sessão de login original. Esse comportamento garante que operações de CLI de longa duração ou sessões de console não sejam encerradas inesperadamente.

Formas de encerrar as sessões do usuário no IAM Identity Center

Iniciado pelo usuário

Quando um usuário sai do portal de AWS acesso, a sessão de login termina, impedindo que o usuário acesse novos recursos.

As sessões de aplicativos existentes, no entanto, não terminam instantaneamente. Em vez disso, eles terminarão em aproximadamente 30 minutos, quando tentarem a próxima atualização e descobrirem que a sessão de login não é mais válida. As sessões de função do IAM existentes continuam até expirarem com base na configuração do conjunto de permissões, o que pode ocorrer até 12 horas depois.

Iniciado pelo administrador

Qualquer pessoa com permissões administrativas do IAM Identity Center em sua organização, geralmente administradores de TI ou equipes de segurança, pode encerrar a sessão de um usuário. Essa ação funciona da mesma forma que se os usuários se desconectassem, permitindo que os administradores exijam que os usuários façam login novamente quando necessário. Esse recurso é útil quando as políticas de segurança mudam ou quando atividades suspeitas são detectadas.

Quando um administrador do IAM Identity Center exclui um usuário ou desativa o acesso de um usuário, o usuário perde o acesso ao portal de AWS acesso e é impedido de entrar novamente para iniciar uma nova sessão de aplicativo ou função do IAM. O usuário perderá o acesso às sessões existentes do aplicativo em 30 minutos. Todas as sessões de função do IAM existentes continuarão com base na duração da sessão configurada no conjunto de permissões do IAM Identity Center. A duração máxima da sessão pode ser de 12 horas.

O que acontece com o acesso do usuário quando você encerra uma sessão

Essa referência fornece informações detalhadas sobre como as sessões do IAM Identity Center se comportam quando ações administrativas são tomadas. As tabelas nesta seção mostram a duração e os efeitos das ações de gerenciamento de usuários e das alterações de permissão no acesso ao portal de AWS acesso, aos aplicativos e às Conta da AWS sessões.

Gerenciamento de usuários

Esta tabela resume como as alterações no gerenciamento de usuários afetam o acesso a AWS recursos, sessões de aplicativos e sessões de AWS contas.

Ação O usuário perde o acesso ao IAM Identity Center O usuário não pode criar novas sessões de aplicativos O usuário não pode acessar as sessões existentes do aplicativo O usuário perde o acesso às Conta da AWS sessões existentes
Acesso do usuário desativado Efetivo imediato Efetivo imediato Dentro de 30 minutos Dentro de 12 horas ou menos. A duração depende da duração da expiração da sessão da função do IAM configurada para o conjunto de permissões.
Usuário excluído Efetivo imediato Efetivo imediato Dentro de 30 minutos Dentro de 12 horas ou menos. A duração depende da duração da expiração da sessão da função do IAM configurada para o conjunto de permissões.
Sessão de usuário revogada O usuário deve entrar novamente para recuperar o acesso Efetivo imediato Dentro de 30 minutos Dentro de 12 horas ou menos. A duração depende da duração da expiração da sessão da função do IAM configurada para o conjunto de permissões.
O usuário se desconecta O usuário deve entrar novamente para recuperar o acesso Efetivo imediato Dentro de 30 minutos Dentro de 12 horas ou menos. A duração depende da duração da expiração da sessão da função do IAM configurada para o conjunto de permissões.

Associação a grupos

Esta tabela resume como as alterações nas permissões do usuário e nas associações de grupos afetam o acesso aos AWS recursos, às sessões do aplicativo e às sessões AWS da conta.

Ação O usuário perde o acesso ao IAM Identity Center O usuário não pode criar novas sessões de aplicativos O usuário não pode acessar as sessões existentes do aplicativo O usuário perde o acesso às Conta da AWS sessões existentes
Aplicativo ou Conta da AWS acesso removido do usuário Não - o usuário pode continuar acessando o IAM Identity Center Efetivo imediato Dentro de 1 hora Dentro de 12 horas ou menos. A duração depende da duração da expiração da sessão da função do IAM configurada para o conjunto de permissões.
Usuário removido do grupo que tinha um aplicativo atribuído ou Conta da AWS Não - o usuário pode continuar acessando o IAM Identity Center Dentro de 1 hora Dentro de 2 horas Dentro de 12 horas ou menos. A duração depende da duração da expiração da sessão da função do IAM configurada para o conjunto de permissões.
Aplicativo ou Conta da AWS acesso removido do grupo Não - o usuário pode continuar acessando o IAM Identity Center Efetivo imediato Dentro de 1 hora Dentro de 12 horas ou menos. A duração depende da duração da expiração da sessão da função do IAM configurada para o conjunto de permissões.
nota

O portal de AWS acesso e AWS CLI refletirá as permissões de usuário atualizadas dentro de 1 hora após você adicionar ou remover um usuário desse grupo.

Entendendo as diferenças de tempo

  • Efetivo imediato — ações que exigem reautenticação imediata.

  • Dentro de 30 minutos a 2 horas — as sessões de aplicativos precisam de tempo para verificar com o IAM Identity Center e descobrir quaisquer alterações.

  • Em 12 horas ou menos, as sessões de função do IAM operam de forma independente e só terminam quando a duração configurada expira.

Logout único

O IAM Identity Center não oferece suporte ao SAML Single Logout (um protocolo que desconecta automaticamente os usuários de todos os aplicativos conectados quando eles saem de um) iniciado por um provedor de identidade que atua como sua fonte de identidade. Além disso, ele não envia SAML Single Logout para aplicativos SAML 2.0 que usam o IAM Identity Center como provedor de identidade.

Melhores práticas para gerenciamento de sessões

O gerenciamento eficaz da sessão requer configuração e monitoramento cuidadosos. As organizações devem configurar as durações das sessões de acordo com seus requisitos de segurança, geralmente usando durações mais curtas para aplicativos e ambientes confidenciais.

A implementação de processos para encerrar as sessões quando os usuários mudam de função ou saem da organização é essencial para manter os limites de segurança. A análise regular das sessões ativas deve ser incorporada às práticas de monitoramento de segurança para detectar comportamentos anômalos que possam indicar problemas de segurança, como padrões de acesso incomuns, horários ou locais de login inesperados ou acesso a recursos fora das funções normais do trabalho.