Pertimbangan durasi sesi untuk menggunakan sumber identitas, AWS CLI, dan AWS SDKs

AWS Managed Microsoft AD: Jika Anda menggunakan AWS Managed Microsoft AD konfigurasi AWS Directory Service, masa pakai maksimum untuk tiket Kerberos pengguna ditetapkan pada 10 jam. Oleh karena itu, durasi sesi interaktif pengguna diatur ke pengaturan IAM Identity Center yang lebih pendek dan 10 jam. Misalnya, jika Anda mengatur durasi sesi interaktif pengguna menjadi 12 jam, pengguna Anda harus mengautentikasi ulang di portal AWS akses setelah 10 jam. Batas 10 jam yang sama berlaku untuk sesi diperpanjang untuk Kiro.

Konektor AD: Jika Anda menggunakan Konektor AD yang dikonfigurasi AWS Directory Service, masa pakai maksimum tiket Kerberos pengguna ditentukan di Microsoft AD di belakang AD Connector. Nilai default adalah 10 jam, dan memiliki efek yang sama pada sesi interaktif pengguna dan sesi diperpanjang seperti untuk AWS Managed Microsoft AD. Meskipun batas ini mungkin dapat dikonfigurasi di Microsoft AD, sebaiknya Anda bekerja sama dengan administrator TI untuk mempertimbangkan risikonya, terutama karena pengaturan ini dapat memengaruhi durasi sesi untuk aplikasi klien Microsoft AD lainnya.

Jika SessionNotOnOrAfter tidak diteruskan dalam pernyataan SAMP, durasi sesi portal AWS akses (interaktif pengguna) dan sesi yang diperpanjang tidak terpengaruh oleh durasi sesi iDP eksternal Anda. Misalnya, jika durasi sesi IDP adalah 24 jam dan Anda menetapkan durasi sesi 18 jam di Pusat Identitas IAM, pengguna Anda harus melakukan autentikasi ulang di portal akses setelah 18 jam. AWS Demikian pula, jika Anda menetapkan sesi diperpanjang 90 hari untuk Kiro, pengguna Kiro Anda perlu mengautentikasi ulang setelah 90 hari.

Jika SessionNotOnOrAfter diteruskan dalam pernyataan SAMP, nilai durasi sesi diatur ke sesi portal AWS akses (interaktif pengguna) yang lebih pendek atau durasi sesi yang diperpanjang dan durasi sesi IDP SAMP Anda. Jika Anda menetapkan durasi sesi 72 jam di IAM Identity Center dan idP Anda memiliki durasi sesi 18 jam, pengguna Anda akan memiliki akses ke AWS sumber daya selama 18 jam yang ditentukan dalam IDP Anda. Demikian pula, jika Anda menetapkan sesi diperpanjang 90 hari untuk Kiro, pengguna Kiro Anda perlu mengautentikasi ulang di Kiro setelah 18 jam.

Jika durasi sesi IDP Anda lebih lama dari yang ditetapkan di IAM Identity Center, pengguna Anda dapat memulai sesi Pusat Identitas IAM baru tanpa memasukkan kembali kredensialnya, berdasarkan sesi login mereka yang masih valid dengan IDP Anda.

Anda harus mengonfigurasi durasi sesi portal AWS akses di konsol Pusat Identitas IAM.

Anda harus menentukan profil untuk pengaturan masuk tunggal di file AWS konfigurasi bersama Anda. Profil ini digunakan untuk terhubung ke portal AWS akses. Kami menyarankan Anda menggunakan konfigurasi penyedia token SSO. Dengan konfigurasi ini, AWS SDK atau alat Anda dapat secara otomatis mengambil token otentikasi yang diperbarui. Untuk informasi selengkapnya, lihat konfigurasi penyedia token SSO di AWS SDK dan Panduan Referensi Alat.

Pengguna harus menjalankan versi AWS CLI atau SDK yang mendukung manajemen sesi.

AWS CLI V2 2.9 atau yang lebih baru

AWS CLI V1 1.27.10 atau yang lebih baru