Consideraciones sobre la duración de la sesión para usar fuentes de identidad, la AWS CLI y AWS SDKs - AWS IAM Identity Center
Microsoft Active Directory, sesiones interactivas para el usuario y sesiones ampliadas para KiroProveedores de identidad externos, sesiones interactivas para el usuario y sesiones ampliadas para KiroAWS CLI y sesiones de SDK

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones sobre la duración de la sesión para usar fuentes de identidad, la AWS CLI y AWS SDKs

Las siguientes son consideraciones para configurar la duración de la sesión si utiliza Microsoft Active Directory (AD) o un proveedor de identidad externo (IdP) como fuente de identidad, o los AWS Command Line Interface kits de desarrollo de AWS software (SDKs) u otras herramientas de AWS desarrollo para acceder a AWS los servicios mediante programación.

Microsoft Active Directory, sesiones interactivas para el usuario y sesiones ampliadas para Kiro

Si usa Microsoft Active Directory (AD) como fuente de identidad y configura la duración de la sesión para las sesiones interactivas de usuario o las sesiones extendidas para Kiro, tenga en cuenta las siguientes consideraciones.

nota

Estas consideraciones no se aplican a las sesiones de usuario en segundo plano.

Ya sea que utilice AD Connector AWS Managed Microsoft AD o esté configurado en AWS Directory Service, la vida útil máxima de los tickets de Kerberos de usuario definidos en Microsoft AD puede afectar al tiempo de validez de las sesiones interactivas de usuario y las sesiones prolongadas de Kiro. Para obtener más información acerca de esta configuración, consulte Duración máxima del ticket de usuario en el sitio web de Microsoft.

  • AWS Managed Microsoft AD: Si se utiliza AWS Managed Microsoft AD configurado en AWS Directory Service, la duración máxima de los tickets de Kerberos de usuario se fija en 10 horas. Por lo tanto, la duración de la sesión interactiva del usuario se establece en 10 horas o menos, entre la configuración del Centro de Identidad de IAM. Por ejemplo, si establece la duración de la sesión interactiva del usuario en 12 horas, los usuarios deberán volver a autenticarse en el portal de AWS acceso después de 10 horas. El mismo límite de 10 horas se aplica a las sesiones prolongadas de Kiro.

  • Conector AD: si utiliza un conector AD configurado en AWS Directory Service, la vida útil máxima de los tickets de Kerberos de los usuarios se define en Microsoft AD detrás del conector AD. El valor predeterminado es de 10 horas y tiene el mismo efecto en las sesiones interactivas y prolongadas de los usuarios que en las sesiones prolongadas. AWS Managed Microsoft AD Aunque este límite se puede configurar en Microsoft AD, le recomendamos que trabaje con su administrador de TI para tener en cuenta los riesgos, especialmente porque esta configuración puede afectar a la duración de la sesión de otras aplicaciones cliente de Microsoft AD.

Proveedores de identidad externos, sesiones interactivas para el usuario y sesiones ampliadas para Kiro

Si utiliza un proveedor de identidad (IdP) externo y configura la duración de la sesión para las sesiones interactivas de usuario o las sesiones extendidas para Kiro, tenga en cuenta las siguientes consideraciones.

nota

Estas consideraciones no se aplican a las sesiones de usuario en segundo plano.

IAM Identity Center utiliza los atributos de SessionNotOnOrAfter de las aserciones de SAML para ayudar a determinar durante cuánto tiempo puede ser válida la sesión.

  • Si no SessionNotOnOrAfter se incluye en una afirmación de SAML, la duración de una sesión del portal de AWS acceso (interactiva para el usuario) y de una sesión extendida no se ve afectada por la duración de la sesión de IdP externa. Por ejemplo, si la duración de su sesión de IdP es de 24 horas y ha establecido una duración de sesión de 18 horas en el Centro de identidad de IAM, sus usuarios deberán volver a autenticarse en el AWS portal de acceso después de 18 horas. Del mismo modo, si estableces una sesión prolongada de 90 días para Kiro, tus usuarios de Kiro deberán volver a autenticarse después de 90 días.

  • Si SessionNotOnOrAfter se incluye en una afirmación de SAML, el valor de duración de la sesión se establece en la duración más corta de la sesión del portal de AWS acceso (interactiva para el usuario) o de la sesión extendida y la duración de la sesión del IdP de SAML. Si establece una duración de sesión de 72 horas en el Centro de identidades de IAM y su IdP tiene una duración de sesión de 18 horas, sus usuarios tendrán acceso a los AWS recursos durante las 18 horas definidas en su IdP. Del mismo modo, si estableces una sesión prolongada de 90 días para Kiro, tus usuarios de Kiro deberán volver a autenticarse en Kiro al cabo de 18 horas.

  • Si la duración de la sesión de su IdP es superior a la establecida en IAM Identity Center, sus usuarios podrán iniciar una nueva sesión en IAM Identity Center sin tener que volver a introducir sus credenciales, en función de la sesión de inicio de sesión aún válida con su IdP.

AWS CLI y sesiones de SDK

Si utiliza la AWS CLI u otras herramientas de AWS desarrollo para acceder a AWS los servicios mediante programación, se deben cumplir los siguientes requisitos previos para establecer la duración de la sesión para el portal de AWS acceso y las AWS aplicaciones administradas. AWS SDKs

  • Debe configurar la duración de la sesión del portal de AWS acceso en la consola de IAM Identity Center.

  • Debe definir un perfil para la configuración de inicio de sesión único en su archivo de configuración compartido AWS . Este perfil se utiliza para conectarse al portal de AWS acceso. Le recomendamos que utilice la configuración del proveedor de tokens de SSO. Con esta configuración, el AWS SDK o la herramienta pueden recuperar automáticamente los tokens de autenticación actualizados. Para obtener más información, consulte Configuración del proveedor de tokens de SSO en la Guía de referencia de los SDK y las herramientas de AWS .

  • Los usuarios deben ejecutar una versión del SDK AWS CLI o una versión que sea compatible con la administración de sesiones.

Versiones mínimas de las AWS CLI que admiten la administración de sesiones

Las siguientes son las versiones mínimas de las AWS CLI que admiten la administración de sesiones.

  • AWS CLI V2 2.9 o posterior

  • AWS CLI V1 1.27.10 o posterior

nota

Para los casos de uso de acceso a cuentas, si sus usuarios utilizan el conjunto de permisos AWS CLI, si actualiza el conjunto de permisos justo antes de que caduque la sesión del Centro de Identidad de IAM y la duración de la sesión se establece en 20 horas, mientras que la duración del conjunto de permisos se establece en 12 horas, la AWS CLI sesión dura un máximo de 20 horas más 12 horas para un total de 32 horas. Para obtener más información sobre la CLI de IAM Identity Center, consulte Referencia de comandos de la AWS CLI.

Sus versiones mínimas SDKs admiten la administración de sesiones de IAM Identity Center

Las siguientes son las versiones mínimas de las SDKs que admiten la gestión de sesiones del IAM Identity Center.

SDK Versión mínima
Python 1.26.10
PHP 3,245.0
Ruby aws-sdk-core 3.167,0
Java V2 AWS SDK para Java v2 (2.18.13)
Go V2 SDK completo: versión 11/11/2022 y módulos Go específicos: 1.18.0 credentials/v1.13.0, config/v
JS V2 2.1253.0
JS V3 v3.210.0
C++ 1.9.372
.NET v3.7.400.0