本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 IAM 身份中心中的身份验证会话
当用户登录AWS 访问门户时,IAM Identity Center 会创建一个代表用户经过验证的身份的身份验证会话。
经过身份验证后,用户无需额外登录即可访问其所有已分配 AWS 账户、AWS托管的应用程序以及管理员授予其使用权限的客户管理的应用程序。
身份验证会话的类型
用户交互会话
用户登录 AWS 访问门户后,IAM Identity Center 会创建用户交互式会话。此会话代表用户在 IAM Identity Center 中的身份验证状态,也是创建其他会话类型的基础。用户交互式会话可以持续在 IAM Identity Center 中配置的持续时间,最长可达 90 天。
用户交互式会话是主要的身份验证机制。当用户注销或管理员结束会话时,它们就会结束。应根据贵组织的安全要求仔细配置这些会话的持续时间。
有关配置用户交互会话持续时间的信息,请参阅在 IAM 身份中心配置会话持续时间。
应用程序会话
应用程序会话是 IAM 身份中心通过单点登录建立的用户与 AWS 托管应用程序(例如 Amazon Q Developer 或 Amazon Quick Suite)之间经过身份验证的连接。
默认情况下,应用程序会话的生命周期为一小时,但只要底层用户交互会话保持有效,它们就会自动刷新。这种刷新机制为用户提供了无缝体验,同时保持了安全控制。当用户交互式会话通过用户注销或管理员操作结束时,应用程序会话将在下一次尝试刷新时结束,通常在 30 分钟内。
用户后台会话
用户后台会话是持续时间较长的会话,专为需要在不中断的情况下运行进程数小时或数天的应用程序而设计。目前,这种会话类型主要适用于 Amazon SageMaker Studio,数据科学家可能会在那里运行需要数小时才能完成的机器学习训练作业。
有关配置用户后台会话持续时间的信息,请参阅用户后台会话。
Amazon Q 开发者会议
您可以延长 Amazon Q 开发者会话,允许使用 Amazon Q 开发者的开发者 IDEs 将身份验证保持最长 90 天。此功能可减少您处理代码时的登录中断。
这些会话独立于其他会话类型,不会影响用户交互式会话或其他 AWS 托管应用程序。根据您启用 IAM Identity Center 的时间,此功能可能在默认情况下处于启用状态。
有关配置扩展 Amazon Q 开发者会话的信息,请参阅适用于 Amazon Q 开发者的延长会话。
IAM 身份中心创建的 IAM 角色会话
当用户访问 AWS Management Console 或时,IAM Identity Center 会创建不同类型的会话 AWS CLI。在这些情况下,IAM Identity Center 使用登录会话通过担任用户权限集中指定的 IAM 角色来获取 IAM 会话。
重要
与应用程序会话不同,IAM 角色会话一旦建立,就会独立运行。无论原始登录会话的状态如何,它们都会在权限集中配置的持续时间内持续存在,最长可达 12 小时。此行为可确保长时间运行的 CLI 操作或控制台会话不会意外结束。
在 IAM 身份中心中进行最终用户会话的方法
由用户发起的
当用户退出 AWS 访问门户时,登录会话将结束,从而阻止用户访问任何新资源。
但是,现有的应用程序会话不会立即结束。相反,当他们尝试下次刷新并发现登录会话已失效时,他们将在大约 30 分钟内结束。根据权限集配置,现有 IAM 角色会话将持续到期,最长可能在 12 小时后过期。
由管理员启动
在您的组织中拥有 IAM Identity Center 管理权限的任何人,通常是 IT 管理员或安全团队,都可以结束用户的会话。此操作的工作方式与用户自行注销相同,允许管理员要求用户在需要时重新登录。当安全策略发生变化或检测到可疑活动时,此功能非常有用。
当 IAM Identity Center 管理员删除用户或禁用用户的访问权限时,该用户将失去 AWS 访问门户的访问权限,并且无法重新登录以启动新的应用程序或 IAM 角色会话。用户将在 30 分钟内失去对现有应用程序会话的访问权限。任何现有的 IAM 角色会话都将根据在 IAM Identity Center 权限集中配置的会话持续时间继续进行。最长会话持续时间可以为 12 小时。
结束会话后用户访问权限会发生什么变化
本参考提供了有关采取管理操作时 IAM Identity Center 会话的行为方式的详细信息。本节中的表格显示了用户管理操作和权限更改对访问门户、应用程序和 AWS 账户 会话 AWS 访问权限的持续时间和影响。
User management
此表汇总了用户管理变更如何影响对 AWS 资源、应用程序会话和 AWS 账户会话的访问。
| 操作 | 用户丢失 IAM 身份中心访问权限 | 用户无法创建新的应用程序会话 | 用户无法访问现有的应用程序会话 | 用户无法访问现有 AWS 账户 会话 |
|---|---|---|---|---|
| 用户访问权限已禁用 | 立即生效 | 立即生效 | 在 30 分钟内 | 在 12 小时或更短的时间内。持续时间取决于为权限集配置的 IAM 角色会话到期时间。 |
| 用户已删除 | 立即生效 | 立即生效 | 在 30 分钟内 | 在 12 小时或更短的时间内。持续时间取决于为权限集配置的 IAM 角色会话到期时间。 |
| 用户会话已撤销 | 用户必须重新登录才能重新获得访问权限 | 立即生效 | 在 30 分钟内 | 在 12 小时或更短的时间内。持续时间取决于为权限集配置的 IAM 角色会话到期时间。 |
| 用户注销 | 用户必须重新登录才能重新获得访问权限 | 立即生效 | 在 30 分钟内 | 在 12 小时或更短的时间内。持续时间取决于为权限集配置的 IAM 角色会话到期时间。 |
组成员资格
此表汇总了用户权限和群组成员资格的更改如何影响对 AWS 资源、应用程序会话和 AWS 账户会话的访问。
| 操作 | 用户丢失 IAM 身份中心访问权限 | 用户无法创建新的应用程序会话 | 用户无法访问现有的应用程序会话 | 用户无法访问现有 AWS 账户 会话 |
|---|---|---|---|---|
| 已移除用户的应用程序或 AWS 账户 访问权限 | 否-用户可以继续访问 IAM 身份中心 | 立即生效 | 1 小时内 | 在 12 小时或更短的时间内。持续时间取决于为权限集配置的 IAM 角色会话到期时间。 |
| 用户已从已分配应用程序的群组中移除或 AWS 账户 | 否-用户可以继续访问 IAM 身份中心 | 1 小时内 | 2 小时内 | 在 12 小时或更短的时间内。持续时间取决于为权限集配置的 IAM 角色会话到期时间。 |
| 已从组中移除应用程序或 AWS 账户 访问权限 | 否-用户可以继续访问 IAM 身份中心 | 立即生效 | 1 小时内 | 在 12 小时或更短的时间内。持续时间取决于为权限集配置的 IAM 角色会话到期时间。 |
注意
AWS 访问门户 AWS CLI 将在您在该群组中添加或移除用户后的 1 小时内反映更新的用户权限。
了解时机差异
-
立即生效-需要立即重新进行身份验证的操作。
-
30 分钟-2 小时内 — 应用程序会话需要时间与 IAM 身份中心核对并发现任何更改。
-
在 12 小时或更短的时间内 — IAM 角色会话独立运行,并且仅在配置的持续时间到期时结束。
单点注销
IAM Identity Center 不支持由充当您的身份源的身份提供商启动的 SAML 单点注销(一种在用户退出所有连接的应用程序时自动退出所有连接的应用程序的协议)。此外,它不会向使用 IAM 身份中心作为身份提供商的 SAML 2.0 应用程序发送 SAML 单点注销。
会话管理的最佳实践
有效的会话管理需要周到的配置和监控。组织应根据其安全要求配置会话持续时间,对于敏感的应用程序和环境,通常使用较短的持续时间。
实施流程以在用户更改角色或离开组织时结束会话对于维护安全边界至关重要。应将定期审查活动会话纳入安全监控实践,以检测可能表明安全问题的异常行为,例如异常的访问模式、意外的登录时间或位置,或者访问正常工作职能之外的资源。
