全部產品
Search
文件中心

Resource Access Management:如何調整登入工作階段時間長度或臨時訪問憑證有效期間?

更新時間:Feb 05, 2024

本文為您介紹不同情境下,登入工作階段時間長度或臨時訪問憑證有效期間的限制因素及對應的調整方法。

RAM使用者登入

  • 登入工作階段時間長度限制

    RAM使用者通過使用者名稱和密碼登入的會話時間長度只受RAM使用者安全性原則中的登入工作階段的到期時間限制。

  • 調整方式

    通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定

使用者SSO

  • 登入工作階段時間長度限制

    使用者SSO登入的會話時間長度只受RAM使用者安全性原則中的登入工作階段的到期時間限制。

  • 調整方式

    通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定

基於SAML的角色SSO

控制台登入

  • 登入工作階段時間長度限制

    通過控制台進行角色SSO時,登入工作階段時間長度受以下配置限制:

    最終的登入工作階段時間長度取以上配置的最小值。

  • 調整方式

    由於最終的登入工作階段時間長度是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:

    • 調整SAML斷言中的SessionDuration屬性值。

      具體操作,取決於企業IdP配置,請參見各IdP的相關文檔。

    • 調整SAML斷言中AuthnStatement元素的SessionNotOnOrAfter屬性值。

      具體操作,取決於企業IdP配置,請參見各IdP的相關文檔。

    • 調整RAM使用者安全性原則中的登入工作階段的到期時間

      通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定

    • 調整被扮演角色的最大會話時間。

      通過控制台或API設定RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間

程式訪問

  • 臨時訪問憑證(STS Token)時間長度限制

    通過調用AssumeRoleWithSAML擷取的STS Token的有效期間受到以下配置的限制:

    最終的STS Token有效期間取以上配置的最小值。

  • 調整方式

    由於最終的STS Token有效期間是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:

    • 調整SAML斷言中AuthnStatement元素的SessionNotOnOrAfter屬性值。

      具體操作,取決於企業IdP配置,請參見各IdP的相關文檔。

    • 調整被扮演角色的最大會話時間。

      通過控制台或API設定RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間

    • 調整調用AssumeRoleWithSAML時的DurationSeconds

      具體操作,請參見AssumeRoleWithSAML

基於OIDC的角色SSO

  • 臨時訪問憑證(STS Token)時間長度限制

    通過調用AssumeRoleWithOIDC介面擷取的STS Token的有效期間受到以下配置的限制:

    最終的STS Token有效期間取以上配置的最小值。

  • 調整方式

    由於最終的STS Token是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:

    • 調整被扮演角色的最大會話時間。

      通過控制台或API設定RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間

    • 調整調用AssumeRoleWithOIDC時的DurationSeconds

      具體操作,請參見AssumeRoleWithOIDC

RAM角色扮演

控制台切換身份

  • 登入工作階段時間長度限制

    在控制台上通過切換角色方式扮演RAM角色時,切換到RAM角色身份後,登入工作階段時間長度受以下配置的限制:

    最終的登入工作階段時間長度取以上配置的最小值。

  • 調整方式

    由於最終的登入工作階段時間長度是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:

    • 調整RAM使用者安全性原則中的登入工作階段的到期時間

      通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定

    • 調整被扮演角色的最大會話時間。

      通過控制台或API設定RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間

程式訪問

  • 臨時訪問憑證(STS Token)時間長度限制

    RAM使用者通過調用AssumeRole擷取的STS Token的有效期間受到以下配置的限制:

    • 被扮演角色的最大會話時間。

      更多資訊,請參見設定RAM角色最大會話時間

    • 調用AssumeRole時指定的DurationSeconds

      如果DurationSeconds為空白,則取預設值。更多資訊,請參見AssumeRole

    最終的STS Token有效期間取以上配置的最小值。

  • 調整方式

    由於最終的STS Token有效期間取上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:

    • 調整被扮演角色的最大會話時間。

      通過控制台或API設定RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間

    • 調整調用AssumeRole時的DurationSeconds

      具體操作,請參見AssumeRole