本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 IAM Identity Center 中配置会话持续时间
配置会话持续时间

当员工用户使用 Amazon Web Services 访问门户 和与 IAM Identity Center 配合使用的应用程序（包括 Kiro）时，您可以为他们配置会话持续时间。IAM Identity Center 提供以下会话类型：用户交互式会话、用户后台会话和 Kiro 的扩展会话。

**Topics**
+ [

# 用户交互式会话
](user-interactive-sessions.md)
+ [

# 用户后台会话
](user-background-sessions.md)
+ [

# Kiro 的延长会话
](90-day-extended-session-duration.md)
+ [

# 查看和结束员工用户的活跃会话
](end-active-sessions.md)
+ [

# 使用身份源、 Amazon CLI 和的会话持续时间注意事项 Amazon SDKs
](user-session-duration-prereqs-considerations.md)

# 用户交互式会话


用户交互式会话是指与用户登录 Amazon Web Services 访问门户或访问[Amazon 托管应用程序](awsapps.md)相关的会话。对 Amazon Web Services 访问门户 和应用程序进行身份验证的会话持续时间是用户无需重新进行身份验证即可登录的最大时长。如果您结束活动 Amazon Web Services 访问门户会话，则这些托管应用程序的所有会话也会随之结束。

用户交互式会话的默认会话持续时间为 8 小时。您可以指定不同的持续时间，从最少 15 分钟到最长 90 天不等。自定义持续时间值必须以分钟为单位输入，并且介于 15 分钟到 129,600 分钟（90 天）之间。有关更多信息，请参阅 [了解 IAM Identity Center 中的身份验证会话](authconcept.md)。

有关诸如 IAM Identity Center 身份源如何影响用户交互会话持续时间等注意事项，请参阅[使用身份源、 Amazon CLI 和的会话持续时间注意事项 Amazon SDKs](user-session-duration-prereqs-considerations.md)。

**配置用户交互式会话的持续时间**

1. 打开 IAM Identity Center 控制台。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份验证**选项卡。

1. 在**身份验证**下,**会话持续时间**旁边，选择**配置**。这时会出现一个**配置会话持续时间**对话框。

1. 在**配置会话持续时间**对话框的**用户交互式会话**下，点击下拉箭头选择用户的最大会话时长。选择会话时长，然后选择**保存**。
**注意**  
对会话持续时间的更改仅适用于新会话。当前会话保持原始持续时间。

1. 您将返回到**身份验证**选项卡。选项卡上方会出现一条绿色的通知消息，指示会话设置已成功更新。

# 用户后台会话


用户后台会话允许用户在 Amazon 托管应用程序（例如 [Amazon SageMaker Studio](https://docs.amazonaws.cn//sagemaker/latest/dg/studio-updated.html)）上启动长时间运行的作业，而无需在任务运行时保持登录状态。作业立即运行，并利用 IAM Identity Center 的[可信身份传播](trustedidentitypropagation-overview.md)功能，确保在后台运行作业时保持用户的权限。即使用户关闭计算机、IAM Identity Center 登录会话过期或用户退出 Amazon Web Services 访问门户，该作业仍可以继续运行。此功能使数据科学家、机器学习工程师和其他人员能够启动在后台运行的分析和机器学习工作流，而无需用户主动参与。

默认情况下，支持 Amazon 托管应用程序（例如 Amazon SageMaker Studio）启用用户后台会话。但是，要使用此功能，您必须在创建或更新域时在 Amazon SageMaker Studio 中启用可信身份传播。有关更多信息，请参阅[在您的 Amazon A SageMaker I 域中启用可信身份传播](https://docs.amazonaws.cn//sagemaker/latest/dg/trustedidentitypropagation-setup.html#trustedidentitypropagation-setup-enable)。

用户后台会话的默认会话持续时间为 7 天。您可以指定不同的持续时间，从最少 15 分钟到最长 90 天不等。自定义持续时间值必须以分钟为单位输入，并且介于 15 分钟到 129,600 分钟（90 天）之间。

请记住以下关于用户后台会话的注意事项：
+ 只有当用户在 Amazon SageMaker Studio 中手动启动任务时，才能创建用户后台会话。自动化、计划的工作流不支持此功能。
+ 有关支持用户后台会话的 Amazon 区域列表，请参阅[支持的 Amazon 区域](https://docs.amazonaws.cn//sagemaker/latest/dg/trustedidentitypropagation-compatibility.html#trustedidentitypropagation-compatibility-supported-regions)。
+ 您可以在中查看用户后台会话 CloudTrail。有关信息，请参阅[识别用户后台会话详细信息](sso-cloudtrail-use-cases.md#identifying-user-background-session-details)。
+ 您也可以结束组织中用户的活跃会话。相关信息，请参阅[结束员工用户的活跃会话](end-active-sessions.md)。

**配置用户后台会话的持续时间**

1. 打开 IAM Identity Center 控制台。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份验证**选项卡。

1. 在**身份验证**下,**会话持续时间**旁边，选择**配置**。这时会出现一个**配置会话持续时间**对话框。

1. 在**配置会话持续时间**对话框中，如果**启用用户后台会话**复选框未勾选，请勾选该选项。取消勾选可禁用用户后台会话。
**注意**  
禁用用户后台会话不会影响当前活跃会话。

1. 在**用户后台会话**下，点击下拉箭头选择最大会话持续时间。选择会话时长，然后选择**保存**。
**注意**  
对会话持续时间的更改仅适用于新会话。当前会话保持原始持续时间。

1. 您将返回到**身份验证**选项卡。选项卡上方会出现一条绿色的通知消息，指示会话设置已成功更新。

**注意**  
客户管理型应用程序无法创建用户后台会话。

# Kiro 的延长会话


如果您的开发人员将 Kiro 用作集成开发环境 (IDE) 的一部分，则可以将 Kiro 的会话持续时间设置为 90 天。根据您启用 IAM Identity Center 的时间，默认情况下可能会启用 Kiro 的延长会话持续时间。此延长会话不会影响 Amazon Web Services 访问门户或其他 Amazon 托管应用程序的会话持续时间。

有关诸如 IAM Identity Center 身份源如何影响延长的会话持续时间之类的注意事项，请参阅[使用身份源、 Amazon CLI 和的会话持续时间注意事项 Amazon SDKs](user-session-duration-prereqs-considerations.md)。

**注意**  
Kiro 可通过设置为商用 Amazon Web Services 区域 且默认处于启用状态的主机进行访问。如果您的 IAM Identity Center 实例位于当前无法访问 Kiro 的区域，则启用 90 天延长会话持续时间不会覆盖默认设置。这意味着，是否启用 90 天延长会话持续时间，会话持续时间都保持不变。有关信息，请参[阅 Kiro 支持的 Amazon 区域](https://docs.amazonaws.cn//amazonq/latest/qdeveloper-ug/regions.html)。

**延长 Kiro 的会话**

1. 打开 IAM Identity Center 控制台。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份验证**选项卡。

1. 在**身份验证**下,**会话持续时间**旁边，选择**配置**。这时会出现一个**配置会话持续时间**对话框。

1. 在 “**配置会话持续时间**” 对话框中，选中 “**为 Kiro 启用扩展会话**” 复选框。清除该复选框可禁用 Kiro 的扩展会话会话。

1. 选择**保存**以返回**设置**页面。

# 查看和结束员工用户的活跃会话
结束员工用户的活跃会话

作为 IAM Identity Center 管理员，您可查看员工用户的活跃会话列表，并在需要时结束用户的一个或多个会话。例如，在以下情况下您可能需要结束用户的会话：
+ 用户不再需要这些会话。
+ 用户不应该保持其当前的身份验证状态。当他们离开公司或权限发生变更时，可能会发生这种情况。

您可使用 IAM Identity Center 控制台查看和结束这些会话。您的用户还可以使用 Amazon Web Services 访问门户查看和结束自己的会话。有关您的员工用户如何在无需管理员协助的情况下查看和结束其会话的信息，请参阅 [查看和结束活跃会话](end-user-how-to-end-active-sessions-accessportal.md)。

**注意**  
结束 IAM Identity Center 用户的活动会话不会结束 Amazon Web Services 管理控制台 或中任何活跃的 IAM 角色会话 Amazon CLI。有关更多信息，请参阅 [了解 IAM Identity Center 中的身份验证会话](authconcept.md)。

**结束员工用户的活跃会话（IAM Identity Center 控制台）**

1. 打开 IAM Identity Center 控制台。

1. 选择**用户**。

1. 在**用户**页面上，选择要管理其会话的用户的用户名。这会让您转至包含用户信息的页面。

1. 在用户页面上，选择**活跃会话**选项卡。**活跃会话**旁边括号中的数字表示该用户处于活跃状态的会话数。

1. 

**搜索用户后台会话（可选）**

   要按使用该会话的作业的 Amazon 资源名称（ARN）搜索会话，请在**会话类型**列表中选择**用户后台会话**，然后在搜索框中输入作业 ARN。
**注意**  
您只能结束已加载的活跃会话。如果用户有许多会话，请选择**加载更多活跃会话**，以显示其他会话。

1. 选择要结束的每个会话旁边的复选框，然后选择**结束会话**。

1. 这时会出现一个对话框，确认您正在结束该用户的活跃会话。查看信息，如果要继续，请键入 `confirm`，然后选择**结束会话**。

1. 您将返回到用户的页面。此时会出现绿色通知消息，表示所选会话已成功结束。

# 使用身份源、 Amazon CLI 和的会话持续时间注意事项 Amazon SDKs
身份源、 Amazon CLI 和 Amazon SDKs

如果您使用 Microsoft Active Directory (AD) 或外部身份提供者 (IdP) 作为身份源，或者使用 Amazon 软件开发套件 (SDKs) 或其他 Amazon 开发工具以编程方式访问 Amazon 服务，则配置会话持续时间的注意事项如下。 Amazon Command Line Interface

## 微软 Active Directory、用户交互会话和 Kiro 的扩展会话


如果您使用 Microsoft Active Directory (AD) 作为身份源，并为 Kiro 配置用户交互会话或扩展会话的会话持续时间，请记住以下注意事项。

**注意**  
这些注意事项不适用于用户后台会话。

无论你使用 Amazon Managed Microsoft AD 还是在中配置的 AD Connector Amazon Directory Service，Microsoft AD 中定义的用户 Kerberos 票证的最大生命周期都会影响 Kiro 的用户交互会话和延长会话的有效期。有关此设置的更多信息，请参阅 Microsoft 网站上的[用户票证的最长使用寿命](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/maximum-lifetime-for-user-ticket)。
+ **Amazon Managed Microsoft AD**：如果您使用中 Amazon Managed Microsoft AD 配置的 Amazon Directory Service，则用户 Kerberos 票证的最长使用寿命固定为 10 小时。因此，用户交互会话持续时间设置为 IAM Identity Center 设置中较短的一个，即 10 小时。例如，如果您将用户交互会话持续时间设置为 12 小时，则您的用户必须在 10 小时后在 Amazon Web Services 访问门户中重新进行身份验证。同样的 10 小时限制也适用于 Kiro 的延长会话。
+ **AD Con** nector：如果您使用中配置的 AD Connector Amazon Directory Service，则用户 Kerberos 票证的最大使用寿命在 AD Connector 后面的 Microsoft AD 中定义。默认值为 10 小时，它对用户交互会话和延长会话的影响与实际效果相同 Amazon Managed Microsoft AD。尽管可以在 Microsoft AD 中配置此限制，但我们建议您与 IT 管理员一起考虑风险，尤其是因为此设置可能会影响其他 Microsoft AD 客户端应用程序的会话时长。

## Kiro 的外部身份提供商、用户交互会话和扩展会话


如果您使用外部身份提供商 (IdP)，并为 Kiro 配置用户交互会话或扩展会话的会话持续时间，请记住以下注意事项。

**注意**  
这些注意事项不适用于用户后台会话。

IAM Identity Center 使用 SAML 断言中的 `SessionNotOnOrAfter` 属性帮助确定会话在多长时间内有效。
+ 如果未在 SAML 断言中通过，`SessionNotOnOrAfter`则 Amazon Web Services 访问门户（用户交互）会话和扩展会话的持续时间不受外部 IdP 会话持续时间的影响。例如，如果您的 IdP 会话持续时间为 24 小时，并且您在 IAM Identity Center 中设置了 18 小时的会话时长，则您的用户必须在 18 小时后在 Amazon Web Services 访问门户中重新进行身份验证。同样，如果您为 Kiro 设置了 90 天的延长会话，则您的 Kiro 用户需要在 90 天后重新进行身份验证。
+ 如果在 SAML 断言中传递，`SessionNotOnOrAfter`则会话持续时间值将设置为 Amazon Web Services 访问门户（用户交互）会话或延长的会话持续时间以及您的 SAML IdP 会话持续时间中较短的一个。如果您在 IAM Identity Center 中设置了 72 小时的会话时长，并且您的 IdP 的会话持续时间为 18 小时，则您的用户将可以在您的 IdP 中定义的 18 小时内访问 Amazon 资源。同样，如果您为 Kiro 设置了 90 天的延长会话，则您的 Kiro 用户需要在 18 小时后在 Kiro 中重新进行身份验证。
+ 如果您 IdP 的会话持续时间长于 IAM Identity Center 中设置的持续时间，由于您 IdP 的登录会话仍然有效，用户无需重新输入凭证即可启动新的 IAM Identity Center 会话。

## Amazon CLI 和 SDK 会话


如果您使用 Amazon CLI 或其他 Amazon 开发工具以编程方式访问 Amazon 服务，则必须满足以下先决条件才能设置 Amazon Web Services 访问门户和 Amazon 托管应用程序的会话持续时间。 Amazon SDKs
+ 您必须[在 IAM Identity Center 控制台中配置 Amazon Web Services 访问门户会话持续时间](user-interactive-sessions.md)。
+ 您必须在共享配置文件中为单点登录设置定义 Amazon 配置文件。此配置文件用于连接到 Amazon Web Services 访问门户。我们建议您使用 SSO 令牌提供程序配置。使用此配置，您的 Amazon SDK 或工具可以自动检索刷新的身份验证令牌。有关更多信息，请参阅*Amazon SDK 和工具参考指南*中的 [SSO 令牌提供商配置](https://docs.amazonaws.cn//sdkref/latest/guide/feature-sso-credentials.html#sso-token-config)。
+ 用户必须运行支持会话管理的版本 Amazon CLI 或 SDK。

### 支持会话管理的最低版本 Amazon CLI


以下是支持会话管理的最低版本。 Amazon CLI 
+ Amazon CLI V2 2.9 或更高版本
+ Amazon CLI V1 1.27.10 或更高版本

**注意**  
对于账户访问用例，如果您的用户正在运行 Amazon CLI，如果您在 IAM Identity Center 会话设置为到期之前刷新权限集，并且会话持续时间设置为 20 小时，而权限集持续时间设置为 12 小时，则 Amazon CLI 会话最长运行时间为 20 小时加 12 小时，总计 32 小时。有关 IAM Identity Center CLI 的更多信息，请参阅 [Amazon CLI 命令参考](https://docs.amazonaws.cn/cli/latest/reference/identitystore)。

### 支持 IAM 身份中心会话管理的最低版本 SDKs


以下是支持 IAM Identity Center 会话管理的最低版本。 SDKs 


****  

| SDK | 最低版本 | 
| --- | --- | 
| Python | 1.26.10 | 
| PHP | 3.245.0 | 
| Ruby | aws-sdk-core 3.167.0 | 
| Java V2 | Amazon 适用于 Java 的 SDK v2 (2.18.13) | 
| Go V2 | 整个 SDK：2022-11-11 版本和特定的 Go 模块：1.18.0 credentials/v1.13.0, config/v | 
| JS V2 | 2.1253.0 | 
| JS V3 | v3.210.0 | 
| C\$1\$1 | 1.9.372 | 
| .NET | v3.7.400.0 |