さまざまなシナリオにおけるセッション期間および STS トークンの有効期間を制限する要因と、これらの制限を調整する方法について説明します。
RAM ユーザーのログイン
-
制限要因
RAM ユーザーがユーザー名とパスワードログインする場合、セッション期間は RAM セキュリティ設定内の Login session duration 設定によってのみ制限されます。
-
調整方法
-
コンソール:RAM セキュリティ設定で Login session duration を調整します。RAM ユーザーのセキュリティ設定の管理。
-
API:SetSecurityPreference 操作を呼び出し、LoginSessionDuration パラメーターを設定します。
-
ユーザー シングルサインオン (SSO)
-
制限要因
ユーザーベース SSO 経由でユーザーがログインする場合、セッション期間は RAM セキュリティ設定内の Login session duration 設定によってのみ制限されます。
-
調整方法
-
コンソール:RAM セキュリティ設定で Login session duration を調整します。RAM ユーザーのセキュリティ設定の管理。
-
API:SetSecurityPreference 操作を呼び出し、LoginSessionDuration パラメーターを設定します。
-
ロールベース SSO
SAML ロールベース SSO
コンソールログイン
-
制限要因
ロールベース SSO 経由でコンソールにログインする場合、セッション期間は以下の要素によって制限されます。
-
SAML アサーション内の
SessionDuration属性。 -
SAML アサーション内の
AuthnStatement要素のSessionNotOnOrAfter属性。 -
RAM セキュリティ設定内の Login session duration。
-
偽装対象のロールの最大セッション期間。
実効的なセッション期間は、これらの値の最小値になります。
-
-
調整方法
実効的な期間はこれらの値の最小値となるため、すべての値を希望する期間以上に設定してください。
-
ID プロバイダー (IdP) で、SAML アサーション内の
SessionDuration属性の値を調整します。これを ID プロバイダー (IdP) で設定します。
-
ID プロバイダー (IdP) で、SAML アサーション内の
AuthnStatement要素のSessionNotOnOrAfter属性の値を調整します。これを ID プロバイダー (IdP) で設定します。
-
RAM セキュリティ設定で Login session duration を調整します。
-
コンソール:RAM セキュリティ設定で Login session duration を調整します。RAM ユーザーのセキュリティ設定の管理。
-
API:SetSecurityPreference 操作を呼び出し、LoginSessionDuration パラメーターを設定します。
-
-
偽装対象のロールの最大セッション期間を調整します。
-
コンソール:RAM ロールの最大セッション期間を調整します。RAM ロールの最大セッション期間の設定。
-
API:CreateRole 操作を呼び出して MaxSessionDuration パラメーターを設定するか、UpdateRole 操作を呼び出して NewMaxSessionDuration パラメーターを設定します。
-
-
プログラムによるアクセス
-
制限要因
AssumeRoleWithSAML を呼び出すと、返された STS トークンの有効期間は以下の要素によって制限されます。
-
SAML アサーション内の
AuthnStatement要素のSessionNotOnOrAfter属性。 -
偽装対象のロールの最大セッション期間。
-
AssumeRoleWithSAML 呼び出し時に指定された DurationSeconds パラメーター。
DurationSeconds パラメーターが指定されていない場合は、デフォルト値が使用されます。
STS トークンの実効的な有効期間は、これらの値の最小値になります。
-
-
調整方法
STS トークンの実効的な有効期間はこれらの値の最小値となるため、すべての値を希望する期間以上に設定してください。
-
ID プロバイダー (IdP) で、SAML アサーション内の
AuthnStatement要素のSessionNotOnOrAfter属性の値を調整します。これを ID プロバイダー (IdP) で設定します。
-
偽装ロールのセッション期間の最大値を調整してください。
-
コンソール:RAM ロールの最大セッション期間を調整します。RAM ロールの最大セッション期間の設定。
-
API:CreateRole 操作を呼び出して MaxSessionDuration パラメーターを設定するか、UpdateRole 操作を呼び出して NewMaxSessionDuration パラメーターを設定します。
-
-
AssumeRoleWithSAML 操作を呼び出す際に、DurationSeconds パラメーターを設定します。
-
OIDC ロール SSO
-
制限要因
AssumeRoleWithOIDC を呼び出すと、返された STS トークンの有効期間は以下の要素によって制限されます。
-
偽装対象のロールの最大セッション期間。
-
AssumeRoleWithOIDC 呼び出し時に指定された DurationSeconds パラメーター。
DurationSeconds パラメーターが指定されていない場合は、デフォルト値が使用されます。
STS トークンの実効的な有効期間は、これらの値の最小値になります。
-
-
調整方法
STS トークンの実効的な有効期間はこれらの値の最小値となるため、両方の値を希望する期間以上に設定してください。
-
偽装対象のロールの最大セッション期間を調整します。
-
コンソール:RAM ロールの最大セッション期間を調整します。RAM ロールの最大セッション期間の設定。
-
API:CreateRole 操作を呼び出して MaxSessionDuration パラメーターを設定するか、UpdateRole 操作を呼び出して NewMaxSessionDuration パラメーターを設定します。
-
-
AssumeRoleWithOIDC 操作を呼び出す際に、DurationSeconds パラメーターを設定します。
-
RAM ロールを引き受ける
コンソールでの ID 切り替え
-
制限要因
コンソールで ID を切り替えて RAM ロールを偽装する場合、新しいセッション期間は以下の要素によって制限されます。
-
RAM セキュリティ設定内の Login session duration。
-
偽装対象のロールの最大セッション期間。
実効的なセッション期間は、これらの値の最小値になります。
-
-
調整方法
実効的な期間はこれらの値の最小値となるため、両方の値を希望する期間以上に設定してください。
-
RAM セキュリティ設定で Login session duration を調整します。
-
コンソール:RAM セキュリティ設定で Login session duration を調整します。RAM ユーザーのセキュリティ設定の管理。
-
API:SetSecurityPreference 操作を呼び出し、LoginSessionDuration パラメーターを設定します。
-
-
偽装対象のロールの最大セッション期間を調整します。
-
コンソール:RAM ロールの最大セッション期間を調整します。RAM ロールの最大セッション期間の設定。
-
API:CreateRole 操作を呼び出して MaxSessionDuration パラメーターを設定するか、UpdateRole 操作を呼び出して NewMaxSessionDuration パラメーターを設定します。
-
-
プログラムによるアクセス
-
制限要因
RAM ユーザーが AssumeRole を呼び出すと、返された STS トークンの有効期間は以下の要素によって制限されます。
-
偽装対象のロールの最大セッション期間。
-
AssumeRole 呼び出し時に指定された DurationSeconds パラメーター。
DurationSeconds パラメーターが指定されていない場合は、デフォルト値が使用されます。
STS トークンの実効的な有効期間は、これらの値の最小値になります。
-
-
調整方法
STS トークンの実効的な有効期間はこれらの値の最小値となるため、両方の値を希望する期間以上に設定してください。
-
偽装対象のロールの最大セッション期間を調整します。
-
コンソール:RAM ロールの最大セッション期間を調整します。RAM ロールの最大セッション期間の設定。
-
API:CreateRole 操作を呼び出して MaxSessionDuration パラメーターを設定するか、UpdateRole 操作を呼び出して NewMaxSessionDuration パラメーターを設定します。
-
-
AssumeRole 操作を呼び出す際に、DurationSeconds パラメーターを設定します。
-
関連トピック
基本概念 で、RAM ユーザー、RAM ロール、ユーザーベース SSO、およびロールベース SSO について確認できます。