如何调整登录会话时长或临时访问凭证有效期？

RAM用户登录

• 登录会话时长限制

  RAM用户通过用户名和密码、钉钉扫码登录的会话时长只受RAM用户安全策略中的登录会话的过期时间限制。

• 调整方式

  通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作，请参见管理RAM用户安全设置。

用户SSO

• 登录会话时长限制

  用户SSO登录的会话时长只受RAM用户安全策略中的登录会话的过期时间限制。

• 调整方式

  通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作，请参见管理RAM用户安全设置。

基于SAML的角色SSO

控制台登录

• 登录会话时长限制

  通过控制台进行角色SSO时，登录会话时长受以下配置限制：

  • SAML断言中的SessionDuration属性。

    更多信息，请参见角色SSO的SAML响应。

  • SAML断言中AuthnStatement元素的SessionNotOnOrAfter属性。

    更多信息，请参见角色SSO的SAML响应。

  • RAM用户安全策略中的登录会话的过期时间。

    更多信息，请参见管理RAM用户安全设置。

  • 被扮演角色的最大会话时间。

    更多信息，请参见设置角色最大会话时间。

  最终的登录会话时长取以上配置的最小值。

• 调整方式

  由于最终的登录会话时长是上述配置的最小值，因此，需要将各配置全部调整到大于等于目标时长。具体的调整方式如下：

  • 调整SAML断言中的SessionDuration属性值。

    具体操作，取决于企业IdP配置，请参见各IdP的相关文档。

  • 调整SAML断言中AuthnStatement元素的SessionNotOnOrAfter属性值。

    具体操作，取决于企业IdP配置，请参见各IdP的相关文档。

  • 调整RAM用户安全策略中的登录会话的过期时间。

    通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作，请参见管理RAM用户安全设置。

  • 调整被扮演角色的最大会话时间。

    通过控制台或API设置RAM角色的最大会话时间。具体操作，请参见设置角色最大会话时间。

程序访问

• 临时访问凭证（STS Token）时长限制

  通过调用AssumeRoleWithSAML获取的STS Token的有效期受到以下配置的限制：

  • SAML断言中AuthnStatement元素的SessionNotOnOrAfter属性。

    更多信息，请参见角色SSO的SAML响应。

  • 被扮演角色的最大会话时间。

    更多信息，请参见设置角色最大会话时间。

  • 调用AssumeRoleWithSAML时指定的DurationSeconds。

    如果DurationSeconds为空，则取默认值。更多信息，请参见AssumeRoleWithSAML。

  最终的STS Token有效期取以上配置的最小值。

• 调整方式

  由于最终的STS Token有效期是上述配置的最小值，因此，需要将各配置全部调整到大于等于目标时长。具体的调整方式如下：

  • 调整SAML断言中AuthnStatement元素的SessionNotOnOrAfter属性值。

    具体操作，取决于企业IdP配置，请参见各IdP的相关文档。

  • 调整被扮演角色的最大会话时间。

    通过控制台或API设置RAM角色的最大会话时间。具体操作，请参见设置角色最大会话时间。

  • 调整调用AssumeRoleWithSAML时的DurationSeconds。

    具体操作，请参见AssumeRoleWithSAML。

基于OIDC的角色SSO

• 临时访问凭证（STS Token）时长限制

  通过调用AssumeRoleWithOIDC接口获取的STS Token的有效期受到以下配置的限制：

  • 被扮演角色的最大会话时间。

    更多信息，请参见设置角色最大会话时间。

  • 调用AssumeRoleWithOIDC时指定的DurationSeconds。

    如果DurationSeconds为空，则取默认值。更多信息，请参见AssumeRoleWithOIDC。

  最终的STS Token有效期取以上配置的最小值。

• 调整方式

  由于最终的STS Token是上述配置的最小值，因此，需要将各配置全部调整到大于等于目标时长。具体的调整方式如下：

  • 调整被扮演角色的最大会话时间。

    通过控制台或API设置RAM角色的最大会话时间。具体操作，请参见设置角色最大会话时间。

  • 调整调用AssumeRoleWithOIDC时的DurationSeconds。

    具体操作，请参见AssumeRoleWithOIDC。

RAM角色扮演

控制台切换身份

• 登录会话时长限制

  在控制台上通过切换角色方式扮演RAM角色时，切换到RAM角色身份后，登录会话时长受以下配置的限制：

  • RAM用户安全策略中的登录会话的过期时间。

    更多信息，请参见管理RAM用户安全设置。

  • 被扮演角色的最大会话时间。

    更多信息，请参见设置角色最大会话时间。

  最终的登录会话时长取以上配置的最小值。

• 调整方式

  由于最终的登录会话时长是上述配置的最小值，因此，需要将各配置全部调整到大于等于目标时长。具体的调整方式如下：

  • 调整RAM用户安全策略中的登录会话的过期时间。

    通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作，请参见管理RAM用户安全设置。

  • 调整被扮演角色的最大会话时间。

    通过控制台或API设置RAM角色的最大会话时间。具体操作，请参见设置角色最大会话时间。

程序访问

• 临时访问凭证（STS Token）时长限制

  RAM用户通过调用AssumeRole获取的STS Token的有效期受到以下配置的限制：

  • 被扮演角色的最大会话时间。

    更多信息，请参见设置角色最大会话时间。

  • 调用AssumeRole时指定的DurationSeconds。

    如果DurationSeconds为空，则取默认值。更多信息，请参见AssumeRole。

  最终的STS Token有效期取以上配置的最小值。

• 调整方式

  由于最终的STS Token有效期取上述配置的最小值，因此，需要将各配置全部调整到大于等于目标时长。具体的调整方式如下：

  • 调整被扮演角色的最大会话时间。

    通过控制台或API设置RAM角色的最大会话时间。具体操作，请参见设置角色最大会话时间。

  • 调整调用AssumeRole时的DurationSeconds。

    具体操作，请参见AssumeRole。