Como entender as sessões de autenticação no IAM Identity Center - Centro de Identidade do AWS IAM
Tipos de sessões de autenticaçãoFormas de encerrar sessões de usuário finalO que acontece com o acesso do usuário quando você encerra uma sessãoLogout únicoPráticas recomendadas para o gerenciamento de uma sessão

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como entender as sessões de autenticação no IAM Identity Center

Quando um usuário faz login no portal de acesso do AWS, o IAM Identity Center cria uma sessão de autenticação que representa a identidade verificada do usuário.

Depois de autenticado, o usuário pode acessar todos os aplicativos atribuídos Contas da AWS e AWS gerenciados pelo cliente que os administradores lhes concederam permissão para usar, sem logins adicionais.

Tipos de sessões de autenticação

Sessões interativas do usuário

Depois que um usuário faz login no portal de AWS acesso, o IAM Identity Center cria uma sessão interativa com o usuário. Essa sessão representa o estado autenticado do usuário no IAM Identity Center e serve como base para a criação de outros tipos de sessão. As sessões interativas do usuário podem ter a duração configurada no IAM Identity Center, que pode ser de até 90 dias.

As sessões interativas do usuário são o principal mecanismo de autenticação. Elas terminam quando o usuário sai ou quando um administrador encerra a sessão. A duração dessas sessões deve ser cuidadosamente configurada com base nos requisitos de segurança da organização.

Para obter informações sobre como configurar a duração da sessão interativa do usuário, consulte Configurar a duração da sessão no IAM Identity Center.

Sessões de aplicação

As sessões de aplicativos são as conexões autenticadas entre usuários e aplicativos AWS gerenciados (como o Kiro ou o Amazon Quick Suite) que o IAM Identity Center estabelece por meio de login único.

Por padrão, as sessões de aplicação têm vida útil de uma hora, mas são atualizadas automaticamente, desde que a sessão interativa do usuário subjacente permaneça válida. Esse mecanismo de atualização fornece uma experiência perfeita para os usuários, mantendo os controles de segurança. Quando uma sessão interativa do usuário termina, seja por meio da saída do usuário ou da ação do administrador, as sessões de aplicação terminam na próxima tentativa de atualização, normalmente em 30 minutos.

Sessões de usuário em segundo plano

Sessões de usuários em segundo plano são sessões de duração prolongada projetadas para aplicações que precisam executar processos por horas ou dias sem interrupção. Atualmente, esse tipo de sessão se aplica principalmente ao Amazon SageMaker Studio, onde cientistas de dados podem executar trabalhos de treinamento de aprendizado de máquina que levam muitas horas para serem concluídos.

Para obter informações sobre como configurar a duração da sessão do usuário em segundo plano, consulte Sessões de usuários em segundo plano.

Sessões de Kiro

Você pode estender as sessões do Kiro para permitir que os desenvolvedores que usam o Kiro in mantenham IDEs a autenticação por até 90 dias. Esse atributo reduz as interrupções de login enquanto você trabalha no código.

Essas sessões são independentes de outros tipos de sessão e não afetam as sessões interativas do usuário ou outras aplicações gerenciadas pela AWS . Dependendo de quando você habilitou o IAM Identity Center, esse atributo pode ser habilitado por padrão.

Para obter informações sobre como configurar sessões estendidas do Kiro, consulte. Sessões estendidas para Kiro

Sessões de perfil do IAM criadas pelo IAM Identity Center

O IAM Identity Center cria um tipo diferente de sessão quando os usuários acessam o Console de gerenciamento da AWS ou AWS CLI. Nesses casos, o IAM Identity Center usa a sessão de login para obter uma sessão do IAM assumindo um perfil do IAM especificado no conjunto de permissões do usuário.

Importante

Diferentemente das sessões de aplicação, as sessões de perfil do IAM operam independentemente depois de estabelecidas. Elas persistem pela duração configurada no conjunto de permissões, que pode ser de até 12 horas, independentemente do status da sessão de login original. Esse comportamento garante que operações de CLI de longa duração ou sessões de console não sejam encerradas inesperadamente.

Formas de encerrar sessões de usuário final no IAM Identity Center

Iniciadas pelo usuário

Quando um usuário sai do portal de AWS acesso, a sessão de login termina, impedindo que o usuário acesse novos recursos.

As sessões de aplicação existentes, no entanto, não terminam instantaneamente. Em vez disso, eles terminarão em aproximadamente 30 minutos, quando tentarem a próxima atualização e descobrirem que a sessão de login não é mais válida. As sessões de perfil do IAM existentes continuam até expirarem com base na configuração do conjunto de permissões, o que pode ocorrer até 12 horas depois.

Iniciadas pelo administrador

Qualquer pessoa com permissões administrativas do IAM Identity Center na organização, geralmente administradores de TI ou equipes de segurança, pode encerrar a sessão de um usuário. Essa ação funciona da mesma forma como se os usuários saíssem por contra própria, permitindo que os administradores exijam que os usuários façam login novamente quando necessário. Esse recurso é útil quando as políticas de segurança mudam ou quando atividades suspeitas são detectadas.

Quando um administrador do IAM Identity Center exclui um usuário ou desabilita o acesso de um usuário, o usuário perde o acesso ao portal de acesso do AWS e é impedido de entrar novamente para iniciar uma nova sessão de aplicação ou perfil do IAM. Em 30 minutos, o usuário perderá acesso às sessões de aplicação existentes. Todas as sessões de perfil do IAM existentes continuarão com base na duração da sessão configurada no conjunto de permissões do IAM Identity Center. A duração máxima da sessão pode ser de 12 horas.

O que acontece com o acesso do usuário quando você encerra uma sessão

Essa referência fornece informações detalhadas sobre como as sessões do IAM Identity Center se comportam quando ações administrativas são tomadas. As tabelas nesta seção mostram a duração e os efeitos das ações de gerenciamento de usuários e das alterações de permissão no acesso ao portal de AWS acesso, aos aplicativos e às Conta da AWS sessões.

Gerenciamento de usuários

Esta tabela resume como as alterações no gerenciamento de usuários afetam o acesso a AWS recursos, sessões de aplicativos e sessões de AWS contas.

Ação O usuário perde o acesso ao IAM Identity Center O usuário não pode criar novas sessões de aplicação O usuário não pode acessar as sessões de aplicação existentes O usuário perde o acesso às Conta da AWS sessões existentes
Acesso do usuário desabilitado Com efeito imediato Com efeito imediato Dentro de 30 minutos Dentro de 12 horas ou menos. A duração depende do tempo de expiração da sessão de perfil do IAM configurado para o conjunto de permissões.
Usuário excluído Com efeito imediato Com efeito imediato Dentro de 30 minutos Dentro de 12 horas ou menos. A duração depende do tempo de expiração da sessão de perfil do IAM configurado para o conjunto de permissões.
Sessão de usuário revogada O usuário deve fazer login novamente para recuperar o acesso Com efeito imediato Dentro de 30 minutos Dentro de 12 horas ou menos. A duração depende do tempo de expiração da sessão de perfil do IAM configurado para o conjunto de permissões.
O usuário desconecta O usuário deve fazer login novamente para recuperar o acesso Com efeito imediato Dentro de 30 minutos Dentro de 12 horas ou menos. A duração depende do tempo de expiração da sessão de perfil do IAM configurado para o conjunto de permissões.

Associação a grupos

Esta tabela resume como as alterações nas permissões do usuário e nas associações de grupos afetam o acesso aos AWS recursos, às sessões do aplicativo e às sessões AWS da conta.

Ação O usuário perde o acesso ao IAM Identity Center O usuário não pode criar novas sessões de aplicação O usuário não pode acessar as sessões de aplicação existentes O usuário perde o acesso às Conta da AWS sessões existentes
Aplicativo ou Conta da AWS acesso removido do usuário Não — o usuário pode continuar acessando o IAM Identity Center Com efeito imediato Dentro de 1 hora Dentro de 12 horas ou menos. A duração depende do tempo de expiração da sessão de perfil do IAM configurado para o conjunto de permissões.
Usuário removido do grupo que tinha uma aplicação ou Conta da AWS atribuída Não — o usuário pode continuar acessando o IAM Identity Center Dentro de 1 hora Dentro de 2 horas Dentro de 12 horas ou menos. A duração depende do tempo de expiração da sessão de perfil do IAM configurado para o conjunto de permissões.
Aplicativo ou Conta da AWS acesso removido do grupo Não — o usuário pode continuar acessando o IAM Identity Center Com efeito imediato Dentro de 1 hora Dentro de 12 horas ou menos. A duração depende do tempo de expiração da sessão de perfil do IAM configurado para o conjunto de permissões.
nota

O portal de AWS acesso e AWS CLI refletirá as permissões de usuário atualizadas dentro de 1 hora após você adicionar ou remover um usuário desse grupo.

Noções básicas sobre diferenças de horário

  • Com efeito imediato — Ações que exigem reautenticação imediata.

  • Dentro de 30 minutos a 2 horas — As sessões de aplicação precisam de tempo para verificar com o IAM Identity Center e descobrir quaisquer alterações.

  • Dentro de 12 horas ou menos — As sessões de perfil do IAM operam independentemente e só terminam quando a duração configurada expirar.

Logout único

O IAM Identity Center não é compatível com o SAML Single Logout (um protocolo que desconecta automaticamente os usuários de todas as aplicações conectadas quando eles fazem logout) iniciado por um provedor de identidade que atua como a fonte de identidade. Além disso, ele não envia o SAML Single Logout para aplicações SAML 2.0 que usam o IAM Identity Center como provedor de identidade.

Práticas recomendadas para o gerenciamento de uma sessão

O gerenciamento eficaz de sessão requer configuração e monitoramento cuidadosos. As organizações devem configurar as durações das sessões de acordo com os requisitos de segurança, geralmente usando durações mais curtas para aplicações e ambientes confidenciais.

A implementação de processos para encerrar as sessões quando os usuários mudam de cargo ou saem da organização é essencial para manter os limites de segurança. A análise regular das sessões ativas deve ser incorporada às práticas de monitoramento de segurança para detectar comportamentos anômalos que possam indicar problemas de segurança, como padrões de acesso incomuns, horários ou locais de login inesperados ou acesso a recursos fora das funções normais da tarefa.