了解 IAM Identity Center 中的身份验证会话
当用户登录 Amazon Web Services 访问门户时,IAM Identity Center 会创建一个代表用户已验证身份的身份验证会话。
一旦通过身份验证,用户无需再次登录即可访问所有分配给他们的 Amazon Web Services 账户、Amazon 托管应用程序以及管理员已授予其使用权限的客户管理型应用程序。
身份验证会话的类型
用户交互式会话
用户登录 Amazon Web Services 访问门户后,IAM Identity Center 会创建一个用户交互式会话。此会话代表用户在 IAM Identity Center 内的已验证状态,并作为创建其他会话类型的基础。用户交互式会话的持续时间可以在 IAM Identity Center 中配置,最长可达 90 天。
用户交互式会话是主要的身份验证机制。当用户注销或管理员终止其会话时,这些会话结束。应根据组织的安全要求仔细配置这些会话的持续时间。
有关配置用户交互式会话持续时间的信息,请参阅 在 IAM Identity Center 中配置会话持续时间。
应用程序会话
应用程序会话是 IAM Identity Center 通过单点登录建立的用户与 Amazon 托管应用程序(例如 Amazon Q 开发者版或 Amazon Quick Suite)之间的已验证连接。
默认情况下,应用程序会话的有效期为一小时,但只要基础的用户交互式会话仍然有效,它们就会自动刷新。这种刷新机制在保持安全控制的同时,为用户提供了无缝的体验。当用户交互式会话结束时(无论是通过用户注销还是管理员操作),应用程序会话将在下一次尝试刷新时结束,通常是在 30 分钟内。
用户后台会话
用户后台会话是持续时间较长的会话,专为需要连续运行数小时或数天的进程的应用程序而设计。目前,此会话类型主要适用于 Amazon SageMaker Studio,数据科学家可能在其中运行需要数小时才能完成的机器学习训练作业。
有关配置用户后台会话持续时间的信息,请参阅用户后台会话。
Amazon Q 开发者版会话
您可以延长 Amazon Q 开发者版会话,允许在 IDE 中使用 Amazon Q 开发者版的开发人员保持身份验证长达 90 天。此功能可在您编写代码时减少登录中断。
这些会话独立于其他会话类型,并且不会影响用户交互式会话或其他 Amazon 托管应用程序。根据您启用 IAM Identity Center 的时间,此功能可能默认启用。
有关配置扩展的 Amazon Q 开发者版会话的信息,请参阅 Amazon Q 开发者版的扩展会话。
IAM Identity Center 创建的 IAM 角色会话
当用户访问 Amazon Web Services 管理控制台 或 Amazon CLI 时,IAM Identity Center 会创建另一种类型的会话。在这些情况下,IAM Identity Center 使用登录会话,通过担任用户权限集中指定的 IAM 角色来获取 IAM 会话。
重要
与应用程序会话不同,IAM 角色会话一旦建立便独立运行。它们的持续时间根据权限集中的配置而定,最长可达 12 小时,与原始登录会话的状态无关。这种行为确保了长时间运行的 CLI 操作或控制台会话不会意外终止。
在 IAM Identity Center 中结束用户会话的方法
用户启动
当用户从 Amazon Web Services 访问门户注销时,登录会话结束,阻止用户访问任何新资源。
然而,现有的应用程序会话不会立即结束。相反,它们会在下次尝试刷新并发现登录会话不再有效时结束,通常在大约 30 分钟内。现有的 IAM 角色会话会持续到根据权限集配置到期为止,这可能长达 12 小时之后。
由管理员启动
您组织中拥有 IAM Identity Center 管理权限的任何人员(通常是 IT 管理员或安全团队)都可以结束用户的会话。此操作与用户自行注销的工作方式相同,允许管理员在需要时要求用户重新登录。当安全策略更改或检测到可疑活动时,此功能非常有用。
当 IAM Identity Center 管理员删除用户或禁用用户的访问权限时,用户将失去对 Amazon Web Services 访问门户的访问权限,并且无法重新登录以启动新的应用程序或 IAM 角色会话。用户将在 30 分钟内失去对现有应用程序会话的访问权限。任何现有的 IAM 角色会话将根据 IAM Identity Center 权限集中配置的会话持续时间继续运行。最长会话持续时间可为 12 小时。
结束会话时用户访问权限会发生什么变化
本参考提供了有关采取管理操作时 IAM Identity Center 会话行为的详细信息。本节中的表格显示了用户管理操作和权限更改对访问 Amazon Web Services 访问门户、应用程序和 Amazon Web Services 账户会话的持续时间和影响。
用户管理
本表总结了用户管理更改如何影响对 Amazon 资源、应用程序会话和 Amazon 账户会话的访问。
| 操作 | 用户失去 IAM Identity Center 访问权限 | 用户无法创建新的应用程序会话 | 用户无法访问现有应用程序会话 | 用户无法访问现有 Amazon Web Services 账户会话 |
|---|---|---|---|---|
| 用户的访问权限被禁用 | 立即生效 | 立即生效 | 30 分钟内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
| 用户被删除 | 立即生效 | 立即生效 | 30 分钟内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
| 用户会话被撤销 | 用户必须重新登录才能恢复访问权限 | 立即生效 | 30 分钟内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
| 用户注销 | 用户必须重新登录才能恢复访问权限 | 立即生效 | 30 分钟内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
组成员资格
本表总结了用户权限和组成员资格的更改如何影响对 Amazon 资源、应用程序会话和 Amazon 账户会话的访问。
| 操作 | 用户失去 IAM Identity Center 访问权限 | 用户无法创建新的应用程序会话 | 用户无法访问现有应用程序会话 | 用户无法访问现有 Amazon Web Services 账户会话 |
|---|---|---|---|---|
| 从用户处移除应用程序或 Amazon Web Services 账户访问权限 | 否 - 用户可以继续访问 IAM Identity Center | 立即生效 | 1 小时内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
| 用户已从已分配应用程序或 Amazon Web Services 账户的组中移除 | 否 - 用户可以继续访问 IAM Identity Center | 1 小时内 | 2 小时内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
| 从组移除应用程序或 Amazon Web Services 账户访问权限 | 否 - 用户可以继续访问 IAM Identity Center | 立即生效 | 1 小时内 | 12 小时或更短。持续时间取决于为权限集配置的 IAM 角色会话到期持续时间。 |
注意
在您从该组添加或移除用户后的 1 小时内,Amazon Web Services 访问门户和 Amazon CLI 将反映更新后的用户权限。
了解时间差异
-
立即生效 - 需要立即重新进行身份验证的操作。
-
30 分钟至 2 小时内 - 应用程序会话需要时间与 IAM Identity Center 核对并发现任何更改。
-
12 小时或更短 - IAM 角色会话独立运行,仅在配置的持续时间到期时结束。
单点注销
IAM Identity Center 不支持由作为您身份源的身份提供者发起的 SAML 单点注销(一种协议,当用户从一个应用程序注销时,会自动将其从所有连接的应用程序中注销)。此外,它不会向使用 IAM Identity Center 作为身份提供者的 SAML 2.0 应用程序发送 SAML 单点注销。
会话管理的最佳实践
有效的会话管理需要周密的配置和监控。组织应根据其安全要求配置会话持续时间,通常对敏感的应用程序和环境使用较短的持续时间。
实施在用户更改角色或离开组织时终止会话的流程,对于维护安全边界至关重要。应将定期审查活跃会话纳入安全监控实践,以检测可能表明安全问题的异常行为,例如异常的访问模式、意外的登录时间或地点,或访问正常职务功能之外的资源。