使用成员账户中的“OrganizationAccountAccessRole”角色登录时 AWS 控制台超时

Question

我在我的组织“Example FooBar Company”中拥有 AWS 组织管理账户的登录名foo。当我登录管理帐户时，我的会话全天保持活动状态。也许是12小时\xe2\x80\x94我不知道。不管怎样，都是合理且充分的。

\n

我的组织有一个会员帐户bar。我没有费心在bar. 相反，我使用.login 登录foo并切换到该bar帐户OrganizationAccountAccessRole。（有关说明，请参阅AWS 跨账户访问。）

\n

我想整天在bar账户里工作。不幸的是，每隔一个小时左右， AWS 就会决定将我注销并显示以下消息：

\n

\n

您已退出帐户。请按 \xe2\x80\x98Reload\xe2\x80\x99 再次登录 AWS 管理控制台。

\n

\n

由于这种情况一整天一次又一次地发生，它开始变得非常令人恼火，尤其是当我在跟踪某些错误的过程中在屏幕上打开了六个选项卡时。此外，当选项卡重新加载时，它们通常会重置其设置（例如过滤器），或者它们必须重新加载我正在查看的日志，所以我必须重新开始。在我看来，这有点（也许不是完全，但有点）毫无意义，因为“再次登录”过程只是重新加载页面，如果我在咖啡店里离开笔记本电脑并迷路了，任何人都可以这样做。在不要求新凭据的情况下注销我会带来更多的可用性痛苦，而不是安全收益。如果我的会话foo有效期为 12 小时，我希望我的会话有效期bar为 12 小时。

\n

我想我可以手动创建一个独特的直接登录用户，而bar不是使用该OrganizationAccountAccessRole角色，但随后我会很痛苦地跟踪组织中所有帐户的用户登录（更不用说经历创建一个角色的痛苦了）每个组织中的新 root 用户只是为了能够在这些组织中创建用户）。

\n

OrganizationAccountAccessRole当通过管理帐户中的用户角色登录到组织的成员帐户时，是否有任何方法可以将 AWS 控制台会话超时延长到合理的值？

\n

Answer 1

是的，默认为一小时。

默认情况下，当您切换角色时，您的 AWS 管理控制台会话将持续 1 小时。

角色转换

然而：

在控制台中切换角色的 IAM 用户将被授予角色最大会话持续时间或用户会话的剩余时间（以较短者为准）。

对于您的情况，您需要修改帐户中的 OrganizationAccountAccessRole，bar将 MaximumSessionDuration 设为最长 12 小时。