Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción de las sesiones de autenticación en IAM Identity Center
Cuando un usuario inicia sesión en el portal de acceso de AWS, IAM Identity Center crea una sesión de autenticación que representa la identidad verificada del usuario.
Una vez autenticado, el usuario puede acceder a todas sus aplicaciones asignadas Cuentas de AWS y AWS administradas por el cliente para las que los administradores le hayan otorgado permiso de uso, sin necesidad de iniciar sesión adicionales.
Tipos de sesiones de autenticación
Sesiones interactivas de usuario
Cuando un usuario inicia sesión en el portal de AWS acceso, el Centro de Identidad de IAM crea una sesión interactiva para el usuario. Esta sesión representa el estado autenticado del usuario en IAM Identity Center y sirve de base para crear otros tipos de sesiones. Las sesiones interactivas de usuario pueden durar el tiempo configurado en IAM Identity Center, que puede ser de hasta 90 días.
Las sesiones interactivas de usuario son el principal mecanismo de autenticación. Finalizan cuando el usuario cierra sesión o cuando un administrador finaliza su sesión. La duración de estas sesiones debe configurarse cuidadosamente en función de los requisitos de seguridad de la organización.
Para obtener información acerca de la configuración de la duración de la sesión interactiva del usuario, consulte Configuración de la duración de la sesión en IAM Identity Center.
Sesiones de aplicación
Las sesiones de aplicación son las conexiones autenticadas entre los usuarios y las aplicaciones AWS gestionadas (como Kiro o Amazon Quick Suite) que IAM Identity Center establece mediante el inicio de sesión único.
De forma predeterminada, las sesiones de la aplicación tienen una duración de una hora, pero se actualizan automáticamente mientras la sesión interactiva del usuario subyacente siga siendo válida. Este mecanismo de actualización proporciona una experiencia fluida a los usuarios y, al mismo tiempo, mantiene los controles de seguridad. Cuando finaliza una sesión interactiva de usuario, ya sea mediante el cierre de sesión del usuario o mediante una acción del administrador, las sesiones de la aplicación finalizarán en el siguiente intento de actualización, normalmente en 30 minutos.
Sesiones de usuario en segundo plano
Las sesiones de usuario en segundo plano son sesiones de duración prolongada diseñadas para aplicaciones que necesitan ejecutar procesos durante horas o días sin interrupción. Actualmente, este tipo de sesión se aplica principalmente a Amazon SageMaker Studio, donde los científicos de datos pueden realizar trabajos de formación en aprendizaje automático que tardan muchas horas en completarse.
Para obtener información sobre cómo configurar la duración de las sesiones de usuario en segundo plano, consulte User background sessions.
Sesiones de Kiro
Puede ampliar las sesiones de Kiro para que los desarrolladores que utilizan Kiro puedan IDEs mantener la autenticación durante un máximo de 90 días. Esta característica reduce las interrupciones de inicio de sesión mientras trabaja en el código.
Estas sesiones son independientes de otros tipos de sesiones y no afectan a las sesiones interactivas de usuarios ni a otras aplicaciones administradas por AWS . En función de cuándo haya activado IAM Identity Center, es posible que esta característica esté habilitada de forma predeterminada.
Para obtener información sobre la configuración de sesiones ampliadas de Kiro, consulte. Sesiones ampliadas para Kiro
Sesiones de roles de IAM creados por IAM Identity Center
El centro de identidad de IAM crea un tipo de sesión diferente cuando los usuarios acceden al Consola de administración de AWS o. AWS CLI En estos casos, IAM Identity Center utiliza la sesión de inicio de sesión para obtener una sesión de IAM asumiendo un rol de IAM especificado en el conjunto de permisos del usuario.
importante
A diferencia de las sesiones de aplicación, las sesiones de roles de IAM funcionan de forma independiente una vez establecidas. Persisten durante el tiempo configurado en el conjunto de permisos, que puede ser de hasta 12 horas, independientemente del estado de la sesión de inicio de sesión original. Este comportamiento garantiza que las operaciones de CLI o las sesiones de consola de larga duración no finalicen inesperadamente.
Formas de finalizar las sesiones de usuario en IAM Identity Center
Iniciadas por el usuario
Cuando un usuario cierra sesión en el portal de AWS acceso, la sesión de inicio de sesión finaliza, lo que impide que el usuario acceda a nuevos recursos.
Sin embargo, las sesiones de aplicación existentes no finalizan de forma instantánea. En cambio, finalizarán en aproximadamente 30 minutos, cuando se intente realizar la siguiente actualización y se descubra que la sesión de inicio de sesión ya no es válida. Las sesiones de rol de IAM existentes continúan hasta que caduquen en función de la configuración del conjunto de permisos, lo que podría ocurrir hasta 12 horas después.
Iniciadas por el administrador
Cualquier persona de su organización con permisos administrativos en IAM Identity Center, normalmente administradores de TI o equipos de seguridad, puede finalizar la sesión de un usuario. Esta acción funciona de la misma manera que si los usuarios cerraran sesión ellos mismos, lo que permite a los administradores exigir a los usuarios que vuelvan a iniciar sesión cuando sea necesario. Esta capacidad resulta útil cuando las políticas de seguridad cambian o cuando se detecta una actividad sospechosa.
Cuando un administrador de IAM Identity Center elimina a un usuario o deshabilita su acceso, el usuario pierde el acceso al portal de acceso de AWS y no puede volver a iniciar sesión para iniciar una nueva sesión de aplicación o rol de IAM. El usuario perderá el acceso a las sesiones de la aplicación existentes en menos de 30 minutos. Todas las sesiones de rol de IAM existentes continuarán en función de la duración configurada en el conjunto de permisos de IAM Identity Center. El tiempo máximo de duración de la sesión puede ser de 12 horas.
Qué sucede con el acceso de los usuarios al finalizar una sesión
Esta referencia proporciona información detallada sobre el comportamiento de las sesiones de IAM Identity Center cuando se toman medidas administrativas. Las tablas de esta sección muestran la duración y los efectos de las acciones de administración de usuarios y los cambios de permisos en el acceso al portal de AWS acceso, las aplicaciones y las Cuenta de AWS sesiones.
Administración de usuarios
En esta tabla se resume cómo los cambios en la administración de usuarios afectan al acceso a AWS los recursos, a las sesiones de aplicaciones y a las sesiones de AWS cuentas.
| Action | El usuario pierde acceso a IAM Identity Center | El usuario no puede crear nuevas sesiones de aplicación | El usuario no puede acceder a las sesiones de aplicación existentes | El usuario pierde el acceso a las sesiones existentes Cuenta de AWS |
|---|---|---|---|---|
| Acceso de usuario deshabilitado | Con efecto inmediato | Con efecto inmediato | En menos de 30 minutos | En menos de 12 horas. La duración depende de la duración de la sesión de rol de IAM configurada para el conjunto de permisos. |
| Se elimina el usuario | Con efecto inmediato | Con efecto inmediato | En menos de 30 minutos | En menos de 12 horas. La duración depende de la duración de la sesión de rol de IAM configurada para el conjunto de permisos. |
| Se revoca la sesión del usuario | El usuario debe volver a iniciar sesión para recuperar el acceso | Con efecto inmediato | En menos de 30 minutos | En menos de 12 horas. La duración depende de la duración de la sesión de rol de IAM configurada para el conjunto de permisos. |
| Se cierra la sesión del usuario | El usuario debe volver a iniciar sesión para recuperar el acceso | Con efecto inmediato | En menos de 30 minutos | En menos de 12 horas. La duración depende de la duración de la sesión de rol de IAM configurada para el conjunto de permisos. |
Pertenencia a grupos
En esta tabla se resume cómo los cambios en los permisos de los usuarios y en la pertenencia a grupos afectan al acceso a AWS los recursos, las sesiones de aplicaciones y las sesiones de la AWS cuenta.
| Action | El usuario pierde acceso a IAM Identity Center | El usuario no puede crear nuevas sesiones de aplicación | El usuario no puede acceder a las sesiones de aplicación existentes | El usuario pierde el acceso a las sesiones existentes Cuenta de AWS |
|---|---|---|---|---|
| Se ha eliminado la aplicación o el Cuenta de AWS acceso del usuario | No, el usuario puede seguir accediendo a IAM Identity Center | Con efecto inmediato | En menos de 1 hora | En menos de 12 horas. La duración depende de la duración de la sesión de rol de IAM configurada para el conjunto de permisos. |
| Se elimina un usuario del grupo al que se le asignó una aplicación o Cuenta de AWS | No, el usuario puede seguir accediendo a IAM Identity Center | En menos de 1 hora | En un plazo de 2 horas | En menos de 12 horas. La duración depende de la duración de la sesión de rol de IAM configurada para el conjunto de permisos. |
| Se ha eliminado la aplicación o el Cuenta de AWS acceso del grupo | No, el usuario puede seguir accediendo a IAM Identity Center | Con efecto inmediato | En menos de 1 hora | En menos de 12 horas. La duración depende de la duración de la sesión de rol de IAM configurada para el conjunto de permisos. |
nota
El portal de AWS acceso AWS CLI reflejará los permisos de usuario actualizados en un plazo de 1 hora después de añadir o eliminar un usuario de ese grupo.
Descripción de las diferencias de tiempo
-
Con efecto inmediato: acciones que requieren una reautenticación inmediata.
-
Entre 30 minutos y 2 horas: las sesiones de aplicación necesitan tiempo para comprobarse en IAM Identity Center y detectar cualquier cambio.
-
En menos de 12 horas: las sesiones de rol de IAM funcionan de forma independiente y solo finalizan cuando vence la duración configurada.
Cierre de sesión único
IAM Identity Center no admite el cierre de sesión único mediante SAML (un protocolo que cierra automáticamente la sesión de los usuarios en todas las aplicaciones conectadas cuando cierran sesión en una de ellas) iniciado por un proveedor de identidades que actúa como origen de identidad. Además, no envía el cierre de sesión único mediante SAML a las aplicaciones de SAML 2.0 que utilizan IAM Identity Center como proveedor de identidad.
Prácticas recomendadas para la administración de sesiones
La administración eficaz de sesiones requiere una configuración y una supervisión cuidadosas. Las organizaciones deben configurar la duración de las sesiones acordes con sus requisitos de seguridad y, por lo general, utilizar duraciones más cortas para aplicaciones y entornos confidenciales.
La implementación de procesos para finalizar sesiones cuando los usuarios cambian de rol o abandonan la organización es esencial para mantener los límites de seguridad. La revisión periódica de las sesiones activas debe incorporarse a las prácticas de supervisión de seguridad a fin de detectar comportamientos anómalos que puedan indicar problemas de seguridad, como patrones de acceso inusuales, horarios o ubicaciones de inicio de sesión inesperados o acceso a recursos fuera de las funciones laborales normales.
