Resource Access Management：如何調整登入工作階段時間長度或臨時訪問憑證有效期間？

RAM使用者登入

• 登入工作階段時間長度限制

  RAM使用者通過使用者名稱和密碼登入的會話時間長度只受RAM使用者安全性原則中的登入工作階段的到期時間限制。

• 調整方式

  通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作，請參見管理RAM使用者安全設定。

使用者SSO

• 登入工作階段時間長度限制

  使用者SSO登入的會話時間長度只受RAM使用者安全性原則中的登入工作階段的到期時間限制。

• 調整方式

  通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作，請參見管理RAM使用者安全設定。

基於SAML的角色SSO

控制台登入

• 登入工作階段時間長度限制

  通過控制台進行角色SSO時，登入工作階段時間長度受以下配置限制：

  • SAML斷言中的SessionDuration屬性。

    更多資訊，請參見角色SSO的SAML響應。

  • SAML斷言中AuthnStatement元素的SessionNotOnOrAfter屬性。

    更多資訊，請參見角色SSO的SAML響應。

  • RAM使用者安全性原則中的登入工作階段的到期時間。

    更多資訊，請參見管理RAM使用者安全設定。

  • 被扮演角色的最大會話時間。

    更多資訊，請參見設定RAM角色最大會話時間。

  最終的登入工作階段時間長度取以上配置的最小值。

• 調整方式

  由於最終的登入工作階段時間長度是上述配置的最小值，因此，需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下：

  • 調整SAML斷言中的SessionDuration屬性值。

    具體操作，取決於企業IdP配置，請參見各IdP的相關文檔。

  • 調整SAML斷言中AuthnStatement元素的SessionNotOnOrAfter屬性值。

    具體操作，取決於企業IdP配置，請參見各IdP的相關文檔。

  • 調整RAM使用者安全性原則中的登入工作階段的到期時間。

    通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作，請參見管理RAM使用者安全設定。

  • 調整被扮演角色的最大會話時間。

    通過控制台或API設定RAM角色的最大會話時間。具體操作，請參見設定RAM角色最大會話時間。

程式訪問

• 臨時訪問憑證（STS Token）時間長度限制

  通過調用AssumeRoleWithSAML擷取的STS Token的有效期間受到以下配置的限制：

  • SAML斷言中AuthnStatement元素的SessionNotOnOrAfter屬性。

    更多資訊，請參見角色SSO的SAML響應。

  • 被扮演角色的最大會話時間。

    更多資訊，請參見設定RAM角色最大會話時間。

  • 調用AssumeRoleWithSAML時指定的DurationSeconds。

    如果DurationSeconds為空白，則取預設值。更多資訊，請參見AssumeRoleWithSAML。

  最終的STS Token有效期間取以上配置的最小值。

• 調整方式

  由於最終的STS Token有效期間是上述配置的最小值，因此，需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下：

  • 調整SAML斷言中AuthnStatement元素的SessionNotOnOrAfter屬性值。

    具體操作，取決於企業IdP配置，請參見各IdP的相關文檔。

  • 調整被扮演角色的最大會話時間。

    通過控制台或API設定RAM角色的最大會話時間。具體操作，請參見設定RAM角色最大會話時間。

  • 調整調用AssumeRoleWithSAML時的DurationSeconds。

    具體操作，請參見AssumeRoleWithSAML。

基於OIDC的角色SSO

• 臨時訪問憑證（STS Token）時間長度限制

  通過調用AssumeRoleWithOIDC介面擷取的STS Token的有效期間受到以下配置的限制：

  • 被扮演角色的最大會話時間。

    更多資訊，請參見設定RAM角色最大會話時間。

  • 調用AssumeRoleWithOIDC時指定的DurationSeconds。

    如果DurationSeconds為空白，則取預設值。更多資訊，請參見AssumeRoleWithOIDC。

  最終的STS Token有效期間取以上配置的最小值。

• 調整方式

  由於最終的STS Token是上述配置的最小值，因此，需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下：

  • 調整被扮演角色的最大會話時間。

    通過控制台或API設定RAM角色的最大會話時間。具體操作，請參見設定RAM角色最大會話時間。

  • 調整調用AssumeRoleWithOIDC時的DurationSeconds。

    具體操作，請參見AssumeRoleWithOIDC。

RAM角色扮演

控制台切換身份

• 登入工作階段時間長度限制

  在控制台上通過切換角色方式扮演RAM角色時，切換到RAM角色身份後，登入工作階段時間長度受以下配置的限制：

  • RAM使用者安全性原則中的登入工作階段的到期時間。

    更多資訊，請參見管理RAM使用者安全設定。

  • 被扮演角色的最大會話時間。

    更多資訊，請參見設定RAM角色最大會話時間。

  最終的登入工作階段時間長度取以上配置的最小值。

• 調整方式

  由於最終的登入工作階段時間長度是上述配置的最小值，因此，需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下：

  • 調整RAM使用者安全性原則中的登入工作階段的到期時間。

    通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作，請參見管理RAM使用者安全設定。

  • 調整被扮演角色的最大會話時間。

    通過控制台或API設定RAM角色的最大會話時間。具體操作，請參見設定RAM角色最大會話時間。

程式訪問

• 臨時訪問憑證（STS Token）時間長度限制

  RAM使用者通過調用AssumeRole擷取的STS Token的有效期間受到以下配置的限制：

  • 被扮演角色的最大會話時間。

    更多資訊，請參見設定RAM角色最大會話時間。

  • 調用AssumeRole時指定的DurationSeconds。

    如果DurationSeconds為空白，則取預設值。更多資訊，請參見AssumeRole。

  最終的STS Token有效期間取以上配置的最小值。

• 調整方式

  由於最終的STS Token有效期間取上述配置的最小值，因此，需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下：

  • 調整被扮演角色的最大會話時間。

    通過控制台或API設定RAM角色的最大會話時間。具體操作，請參見設定RAM角色最大會話時間。

  • 調整調用AssumeRole時的DurationSeconds。

    具體操作，請參見AssumeRole。