すべてのプロダクト
Search

このプロダクト

    Resource Access Management:ログインセッションとセキュリティトークンサービス (STS) トークンの有効期間を変更する方法

    ドキュメントセンター

    Resource Access Management:ログインセッションとセキュリティトークンサービス (STS) トークンの有効期間を変更する方法

    最終更新日:Nov 09, 2025

    このトピックでは、さまざまなシナリオにおけるログインセッションとセキュリティトークンサービス (STS) トークンの有効期間を制限する要因と、これらの期間を変更する方法について説明します。

    RAM ユーザーのログイン

    • 制限要因

      Resource Access Management (RAM) ユーザーがユーザー名とパスワードを使用するか、ログインする場合のセッション期間は、RAM ユーザーのセキュリティポリシーの [ログインセッションの有効期限] によってのみ決定されます。

    • 変更方法

      • コンソール: RAM ユーザーのセキュリティポリシーで [ログインセッションの有効期限] を調整できます。 詳細については、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。

      • API: SetSecurityPreference 操作を呼び出すときに [LoginSessionDuration] パラメーターを設定できます。

    ユーザーベース SSO

    • 制限要因

      ユーザーベース SSO ログインのセッション期間は、RAM ユーザーのセキュリティポリシーの [ログインセッションの有効期限] によってのみ決定されます。

    • 変更方法

      • コンソール: RAM ユーザーのセキュリティポリシーで [ログインセッションの有効期限] を調整できます。 詳細については、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。

      • API: SetSecurityPreference 操作を呼び出すときに [LoginSessionDuration] パラメーターを設定できます。

    ロールベース SSO

    SAML ベースのロール SSO

    コンソールログイン

    • 制限要因

      ロールベース SSO を使用してコンソールにログインする場合、ログインセッション期間は次の要因によって制限されます:

      最終的なログインセッション期間は、上記の値の最小値です。

    • 変更方法

      最終的なログインセッション期間は構成された値の最小値であるため、各構成をターゲット期間以上に調整する必要があります。 変更方法は次のとおりです:

      • SAML アサーションの SessionDuration プロパティの値を調整します。

        具体的な操作は IdP の構成によって異なります。 詳細については、IdP のドキュメントをご参照ください。

      • SAML アサーションの AuthnStatement 要素の SessionNotOnOrAfter プロパティの値を調整します。

        具体的な操作は IdP の構成によって異なります。 詳細については、IdP のドキュメントをご参照ください。

      • RAM ユーザーのセキュリティポリシーで [ログインセッションの有効期限] を調整します。

        • コンソール: RAM ユーザーのセキュリティポリシーで [ログインセッションの有効期限] を調整できます。 詳細については、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。

        • API: SetSecurityPreference 操作を呼び出すときに [LoginSessionDuration] パラメーターを設定できます。

      • 偽装された RAM ロールの最大セッション期間を調整します。

        • コンソール: RAM ロールの最大セッション期間を調整できます。 詳細については、「RAM ロールの最大セッション期間の設定」をご参照ください。

        • CreateRole を呼び出して [MaxSessionDuration] パラメーターを設定するか、UpdateRole を呼び出して [NewMaxSessionDuration] パラメーターを設定できます。

    プログラムによるアクセス

    • 制限要因

      AssumeRoleWithSAML 操作を呼び出して取得する STS トークンの有効期間は、次の要因によって制限されます:

      • SAML アサーションの AuthnStatement 要素の SessionNotOnOrAfter プロパティ。

        詳細については、「ロールベース SSO の SAML 応答」をご参照ください。

      • 偽装された RAM ロールの最大セッション期間。

        詳細については、「RAM ロールの最大セッション期間の設定」をご参照ください。

      • AssumeRoleWithSAML 操作を呼び出すときに指定される [DurationSeconds] パラメーター。

        [DurationSeconds] パラメーターが空の場合、デフォルト値が使用されます。

      STS トークンの最終的な有効期間は、上記の値の最小値です。

    • 調整方法

      STS トークンの最終的な有効期間は、構成された値の最小値によって決定されます。 したがって、各構成をターゲット期間以上に調整する必要があります。 変更方法は次のとおりです:

      • SAML アサーションの AuthnStatement 要素の SessionNotOnOrAfter プロパティの値を調整します。

        具体的な操作は IdP の構成によって異なります。 詳細については、IdP のドキュメントをご参照ください。

      • 偽装された RAM ロールの最大セッション期間を調整します。

        • コンソール: RAM ロールの最大セッション期間を調整できます。 詳細については、「RAM ロールの最大セッション期間の設定」をご参照ください。

        • CreateRole を呼び出して [MaxSessionDuration] パラメーターを設定するか、UpdateRole を呼び出して [NewMaxSessionDuration] パラメーターを設定できます。

      • AssumeRoleWithSAML 操作を呼び出すときに [DurationSeconds] パラメーターを設定します。

    OIDC ベースのロール SSO

    • 制限要因

      AssumeRoleWithOIDC 操作を呼び出して取得する STS トークンの有効期間は、次の要因によって制限されます:

      • 偽装された RAM ロールの最大セッション期間。

        詳細については、「RAM ロールの最大セッション期間の設定」をご参照ください。

      • AssumeRoleWithOIDC 操作を呼び出すときに指定される [DurationSeconds] パラメーター。

        [DurationSeconds] パラメーターが空の場合、デフォルト値が使用されます。

      STS トークンの最終的な有効期間は、上記の値の最小値です。

    • 変更方法

      STS トークンの最終的な有効期間は構成された値の最小値であるため、各構成をターゲット期間以上に調整する必要があります。 変更方法は次のとおりです:

      • 偽装された RAM ロールの最大セッション期間を調整します。

        • コンソール: RAM ロールの最大セッション期間を調整できます。 詳細については、「RAM ロールの最大セッション期間の設定」をご参照ください。

        • CreateRole を呼び出して [MaxSessionDuration] パラメーターを設定するか、UpdateRole を呼び出して [NewMaxSessionDuration] パラメーターを設定できます。

      • AssumeRoleWithOIDC 操作を呼び出すときに [DurationSeconds] パラメーターを設定します。

    RAM ロールの引き受け

    コンソールでの ID の切り替え

    • 制限要因

      コンソールで ID を切り替えて RAM ロールを偽装する場合、新しいログインセッションの期間は次の要因によって制限されます:

      最終的なログインセッション期間は、上記の値の最小値です。

    • 変更方法

      最終的なログインセッション期間は構成された値の最小値であるため、各構成をターゲット期間以上に調整する必要があります。 変更方法は次のとおりです:

      • RAM ユーザーのセキュリティポリシーで [ログインセッションの有効期限] を調整します。

        • コンソール: RAM ユーザーのセキュリティポリシーで [ログインセッションの有効期限] を調整できます。 詳細については、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。

        • API: SetSecurityPreference 操作を呼び出すときに [LoginSessionDuration] パラメーターを設定できます。

      • 偽装された RAM ロールの最大セッション期間を調整します。

        • コンソール: RAM ロールの最大セッション期間を調整できます。 詳細については、「RAM ロールの最大セッション期間の設定」をご参照ください。

        • CreateRole を呼び出して [MaxSessionDuration] パラメーターを設定するか、UpdateRole を呼び出して [NewMaxSessionDuration] パラメーターを設定できます。

    プログラムによるアクセス

    • 制限要因

      RAM ユーザーが AssumeRole 操作を呼び出して取得する STS トークンの有効期間は、次の要因によって制限されます:

      • 偽装された RAM ロールの最大セッション期間。

        詳細については、「RAM ロールの最大セッション期間の設定」をご参照ください。

      • AssumeRole 操作を呼び出すときに指定される [DurationSeconds] パラメーター。

        [DurationSeconds] パラメーターが空の場合、デフォルト値が使用されます。

      STS トークンの最終的な有効期間は、上記の値の最小値です。

    • 変更方法

      STS トークンの最終的な有効期間は構成された値の最小値であるため、各構成をターゲット期間以上に調整する必要があります。 変更方法は次のとおりです:

      • 偽装された RAM ロールの最大セッション期間を調整します。

        • コンソール: RAM ロールの最大セッション期間を調整できます。 詳細については、「RAM ロールの最大セッション期間の設定」をご参照ください。

        • CreateRole を呼び出して [MaxSessionDuration] パラメーターを設定するか、UpdateRole を呼び出して [NewMaxSessionDuration] パラメーターを設定できます。

      • AssumeRole 操作を呼び出すときに [DurationSeconds] パラメーターを設定します。

    リファレンス

    RAM ユーザー、RAM ロール、ユーザーベース SSO、ロールベース SSO などの概念の詳細については、「基本概念」をご参照ください。