本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用外部 IdPs、 AWS CLI 和 AWS SDKs
如果您使用外部身份提供商 (IdP)、 AWS 软件开发套件 (SDKs) 或其他 AWS 开发工具以编程方式访问 AWS 服务 AWS Command Line Interface,则配置会话持续时间的注意事项如下。
适用于 Amazon Q 开发者的外部身份提供商、用户互动会话和扩展会话
如果您使用外部身份提供商 (IdP),并且要为 Amazon Q Developer 的用户交互会话或扩展会话配置会话时长,请记住以下注意事项。
注意
这些注意事项不适用于用户后台会话。
IAM Identity Center 使用 SAML 断言中的SessionNotOnOrAfter属性来帮助确定会话的有效期。
-
如果
SessionNotOnOrAfter未在 SAML 断言中通过,则 AWS 访问门户会话的持续时间不受外部 IdP 会话持续时间的影响。例如,如果您的 IdP 会话持续时间为 24 小时,并且您在 IAM Identity Center 中设置了 18 小时的会话时长,则您的用户必须在 18 小时后在 AWS 访问门户中重新进行身份验证。 -
如果在 SAML 断言中传递,
SessionNotOnOrAfter则会话持续时间值将设置为 AWS 访问门户会话持续时间和您的 SAML IdP 会话持续时间中较短的一个。如果您在 IAM Identity Center 中设置了 72 小时的会话时长,并且您的 IdP 的会话持续时间为 18 小时,则您的用户将可以在您的 IdP 中定义的 18 小时内访问 AWS 资源。 -
如果您的 IdP 的会话持续时间长于 IAM Identity Center 中设置的会话,则您的用户无需重新输入证书即可启动新的 IAM Identity Center 会话,这取决于他们与您的 IdP 的登录会话仍然有效。
AWS CLI 和 SDK 会话
如果您使用 AWS CLI 或其他 AWS 开发工具以编程方式访问 AWS 服务,则必须满足以下先决条件才能设置 AWS 访问门户和 AWS 托管应用程序的会话持续时间。 AWS SDKs
-
您必须在共享配置文件中为单点登录设置定义 AWS 配置文件。此配置文件用于连接到 AWS 访问门户。我们建议您使用 SSO 令牌提供程序配置。使用此配置,您的 AWS SDK 或工具可以自动检索刷新的身份验证令牌。有关更多信息,请参阅AWS SDK 和工具参考指南中的 SSO 令牌提供商配置。
-
用户必须运行支持会话管理的版本 AWS CLI 或 SDK。
支持会话管理的最低版本 AWS CLI
以下是支持会话管理的最低版本。 AWS CLI
-
AWS CLI V2 2.9 或更高版本
-
AWS CLI V1 1.27.10 或更高版本
注意
对于账户访问用例,如果您的用户正在运行 AWS CLI,如果您在 IAM Identity Center 会话设置为到期之前刷新权限集,并且会话持续时间设置为 20 小时,而权限集持续时间设置为 12 小时,则 AWS CLI 会话最长运行时间为 20 小时加 12 小时,总计 32 小时。有关 IAM Identity Center CLI 的更多信息,请参阅 AWS CLI 命令参考。
支持 IAM 身份中心会话管理的最低版本 SDKs
以下是支持 IAM Identity Center 会话管理的最低版本。 SDKs
| SDK | 最低版本 |
|---|---|
| Python | 1.26.10 |
| PHP | 3.245.0 |
| Ruby | aws-sdk-core 3.167.0 |
| Java V2 | AWS 适用于 Java 的 SDK v2 (2.18.13) |
| Go V2 | 整个 SDK:2022-11-11 版本和特定的 Go 模块:1.18.0 credentials/v1.13.0, config/v |
| JS V2 | 2.1253.0 |
| JS V3 | v3.210.0 |
| C++ | 1.9.372 |
| .NET | v3.7.400.0 |
