本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 了解 IAM Identity Center 中的身份验证会话
当用户登录 [AWS 访问门户](using-the-portal.md)时,IAM Identity Center 会创建一个代表用户已验证身份的身份验证会话。
[经过身份验证后,用户无需额外登录即可访问其所有已分配 AWS 账户、AWS[托管的应用程序以及管理员授予其使用权限的客户](customermanagedapps.md)管理的应用程序。](awsapps.md)
## 身份验证会话的类型
### 用户交互式会话
用户登录 AWS 访问门户后,IAM Identity Center 会创建用户交互式会话。此会话代表用户在 IAM Identity Center 内的已验证状态,并作为创建其他会话类型的基础。用户交互式会话的持续时间可以在 IAM Identity Center 中配置,最长可达 90 天。
用户交互式会话是主要的身份验证机制。当用户注销或管理员终止其会话时,这些会话结束。应根据组织的安全要求仔细配置这些会话的持续时间。
有关配置用户交互式会话持续时间的信息,请参阅 [在 IAM Identity Center 中配置会话持续时间](configure-user-session.md)。
### 应用程序会话
应用程序会话是 IAM Identity Center 通过单点登录建立的用户与 AWS 托管应用程序(例如 Kiro 或 Amazon Quick)之间经过身份验证的连接。
默认情况下,应用程序会话的有效期为一小时,但只要基础的用户交互式会话仍然有效,它们就会自动刷新。这种刷新机制在保持安全控制的同时,为用户提供了无缝的体验。当用户交互式会话结束时(无论是通过用户注销还是管理员操作),应用程序会话将在下一次尝试刷新时结束,通常是在 30 分钟内。
### 用户后台会话
用户后台会话是持续时间较长的会话,专为需要连续运行数小时或数天的进程的应用程序而设计。目前,这种会话类型主要适用于 [Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html),数据科学家可能会在那里运行需要数小时才能完成的机器学习训练作业。
有关配置用户后台会话持续时间的信息,请参阅[用户后台会话](user-background-sessions.md)。
### Kiro 会议
您可以延长 Kiro 会话,允许使用 Kiro 的开发者 IDEs 将身份验证保持长达 90 天。此功能可在您编写代码时减少登录中断。
这些会话独立于其他会话类型,并且不会影响用户交互式会话或其他 AWS 托管应用程序。根据您启用 IAM Identity Center 的时间,此功能可能默认启用。
有关配置扩展 Kiro 会话的信息,请参阅[Kiro 的延长会话](90-day-extended-session-duration.md)。
### IAM Identity Center 创建的 IAM 角色会话
当用户访问 AWS 管理控制台 或时,IAM Identity Center 会创建不同类型的会话 AWS CLI。在这些情况下,IAM Identity Center 使用登录会话,通过担任用户权限集中指定的 IAM 角色来获取 IAM 会话。
**重要**
与应用程序会话不同,IAM 角色会话一旦建立便独立运行。它们的持续时间根据权限集中的配置而定,最长可达 12 小时,与原始登录会话的状态无关。这种行为确保了长时间运行的 CLI 操作或控制台会话不会意外终止。
## 在 IAM Identity Center 中结束用户会话的方法
### 用户启动
当用户退出 AWS 访问门户时,登录会话将结束,从而阻止用户访问任何新资源。
然而,现有的应用程序会话不会立即结束。相反,它们会在下次尝试刷新并发现登录会话不再有效时结束,通常在大约 30 分钟内。现有的 IAM 角色会话会持续到根据权限集配置到期为止,这可能长达 12 小时之后。
### 由管理员启动
您组织中拥有 IAM Identity Center 管理权限的任何人员(通常是 IT 管理员或安全团队)都可以[结束用户的会话](end-active-sessions.md)。此操作与用户自行注销的工作方式相同,允许管理员在需要时要求用户重新登录。当安全策略更改或检测到可疑活动时,此功能非常有用。
当 IAM Identity Center 管理员[删除用户](deleteusers.md)或[禁用用户的访问权限](disableuser.md)时,用户将失去对 AWS 访问门户的访问权限,并且无法重新登录以启动新的应用程序或 IAM 角色会话。用户将在 30 分钟内失去对现有应用程序会话的访问权限。任何现有的 IAM 角色会话将根据 IAM Identity Center 权限集中配置的会话持续时间继续运行。最长会话持续时间可为 12 小时。
## 结束会话时用户访问权限会发生什么变化
本参考提供了有关采取管理操作时 IAM Identity Center 会话行为的详细信息。本节中的表格显示了用户管理操作和权限更改对访问门户、应用程序和 AWS 账户 会话 AWS 访问权限的持续时间和影响。
### User management
此表汇总了用户管理变更如何影响对 AWS 资源、应用程序会话和 AWS 账户会话的访问。
| Action | 用户失去 IAM Identity Center 访问权限 | 用户无法创建新的应用程序会话 | 用户无法访问现有应用程序会话 | 用户无法访问现有 AWS 账户 会话 |
| --- | --- | --- | --- | --- |
| 用户的访问权限被禁用 | 立即生效 | 立即生效 | 30 分钟内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
| 用户被删除 | 立即生效 | 立即生效 | 30 分钟内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
| 用户会话被撤销 | 用户必须重新登录才能恢复访问权限 | 立即生效 | 30 分钟内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
| 用户注销 | 用户必须重新登录才能恢复访问权限 | 立即生效 | 30 分钟内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
### 组成员资格
此表汇总了用户权限和群组成员资格的更改如何影响对 AWS 资源、应用程序会话和 AWS 账户会话的访问。
| Action | 用户失去 IAM Identity Center 访问权限 | 用户无法创建新的应用程序会话 | 用户无法访问现有应用程序会话 | 用户无法访问现有 AWS 账户 会话 |
| --- | --- | --- | --- | --- |
| 已删除用户的应用程序或 AWS 账户 访问权限 | 否 - 用户可以继续访问 IAM Identity Center | 立即生效 | 1 小时内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
| 用户已从已分配应用程序或 AWS 账户的组中移除 | 否 - 用户可以继续访问 IAM Identity Center | 1 小时内 | 2 小时内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
| 已从组中移除应用程序或 AWS 账户 访问权限 | 否 - 用户可以继续访问 IAM Identity Center | 立即生效 | 1 小时内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
**注意**
AWS 访问门户 AWS CLI 将在您在该群组中添加或移除用户后的 1 小时内反映更新的用户权限。
**了解时间差异**
+ **立即生效** - 需要立即重新进行身份验证的操作。
+ **30 分钟至 2 小时内** - 应用程序会话需要时间与 IAM Identity Center 核对并发现任何更改。
+ **12 小时或更短** - IAM 角色会话独立运行,仅在配置的持续时间到期时结束。
## 单点注销
IAM Identity Center 不支持由作为您[身份源](manage-your-identity-source.md)的身份提供者发起的 SAML 单点注销(一种协议,当用户从一个应用程序注销时,会自动将其从所有连接的应用程序中注销)。此外,它不会向使用 IAM Identity Center 作为身份提供者的 [SAML 2.0 应用程序](customermanagedapps-saml2-oauth2.md)发送 SAML 单点注销。
## 会话管理的最佳实践
有效的会话管理需要周密的配置和监控。组织应根据其安全要求配置会话持续时间,通常对敏感的应用程序和环境使用较短的持续时间。
实施在用户更改角色或离开组织时终止会话的流程,对于维护安全边界至关重要。应将定期审查活跃会话纳入安全监控实践,以检测可能表明安全问题的异常行为,例如异常的访问模式、意外的登录时间或地点,或访问正常职务功能之外的资源。