ログイン・セッションの制限の設定
アカウント・ユーザーにカスタマイズ設定した間隔でログイン資格情報の入力を求めることにより、アカウントのセキュリティーを強化します。 アカウント所有者または ID サービスの管理者役割が割り当てられたユーザーは、ユーザーが資格情報を再入力する必要が生じるまでにアクティブ・セッションを維持できる時間を選択できます。 ユーザーがセッションからサインアウトされて資格情報の再入力を求められるようになるまでのユーザーの非アクティブ期間を選択することもできます。
アカウントのセキュリティを維持するためにアクティブなセッションを確認および終了するには、 ログインセッションの監視 を参照してください。
ログインセッションの制限がエンタープライズ管理 の場合、エンタープライズ管理設定がより厳密でなくなるか、削除されると、アカウントレベルで定義された設定が適用されます。
開始前に
以下のアクセス権限を持っている場合、ログイン・セッションの設定を更新できます。
- アカウント所有者
- すべてのアカウント管理サービスに対するエディター役割または管理者役割
- IAM Identity サービスに対するエディター役割または管理者役割
ユーザーが複数のアカウントのメンバーである場合は、各設定の最小値がユーザーのセッションに適用されます。 例えば、ユーザーが dev account と test account の 2 つのアカウントのメンバーであるとします。 dev account に 15 分の非アクティブ・タイムアウトがあり、test account に 30 分の非アクティブ・タイムアウトがある場合、15
分の非アクティブ・タイムアウトが両方のアカウントに適用されます。
Terraform を使用してログイン・セッションの制限を設定する前に、以下を完了していることを確認してください。
- Terraform CLI をインストールし、Terraform 用の IBM Cloud プロバイダー・プラグインを構成します。 詳しくは、 IBM Cloud® のチュートリアルを参照してください。 このプラグインは、以下のタスクを実行するために使用される IBM Cloud API を抽象化します。
main.tfという名前の Terraform 構成ファイルを作成します。 このファイルでは、 HashiCorp 構成言語を使用してリソースを定義します。 詳しくは Terraformのドキュメントを参照。
アクティブ・セッション期間の設定
アクティブ・セッションとは、ユーザーがアカウントで継続的に操作している期間のことです。 アクティブ・セッションかどうかの判断は、セッションの「非アクティブによるサインアウト」制限の期間によっても変わります。 例えば、サインアウトの制限値を 2 時間に設定した場合、ユーザーは 2 時間に 1 回はアカウントとやり取りする必要があることになります。
ユーザーのアクティブ・セッションの設定を更新するには、以下のステップを実行します。
- IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」をクリックし、「設定」**を選択します。
- 「ログイン・セッション」セクションで、「アクティブ・セッション」タイルから編集アイコン
をクリックします。 - 時間制限を入力します。 継続できるセッションの最長期間は 720 時間です。
- 保存 をクリックします。
Terraform を使用したアクティブ・セッション期間の設定
アクティブ・セッションとは、ユーザーがアカウントで継続的に操作している期間のことです。 アクティブ・セッションかどうかの判断は、セッションの「非アクティブによるサインアウト」制限の期間によっても変わります。 例えば、サインアウトの制限値を 2 時間に設定した場合、ユーザーは 2 時間に 1 回はアカウントとやり取りする必要があることになります。
Terraform を使用してユーザーのアクティブ・セッションの設定を更新するには、以下の手順を実行します。
-
main.tfファイルに引数を作成します。 以下の例では、ibm_iam_account_settingsリソースとiam_account_settings_instanceリソースを使用して、アクティブ・セッションの期間を設定します。 -
アクティブでないためにセッションを無効にするまでの期間を秒単位で入力します。 サポートされる有効な値は以下のとおりです。
- 900 から 7200 までの任意の整数。
NOT_SETを使用すると、アカウントの設定値を設定せずにサービスのデフォルト値を使用することができます。
resource "ibm_iam_account_settings" "iam_account_settings_instance" { session_invalidation_in_seconds = "7200" } -
main.tfファイルからリソースをプロビジョンします。 詳しくは、 Terraform を使用したインフラストラクチャーのプロビジョニングを参照してください。-
terraform planを実行して、提案されたアクションをプレビューするための Terraform 実行プランを生成します。terraform plan -
terraform applyを実行して、計画に定義されているリソースを作成します。terraform apply
-
詳しくは、Terraform の資料を参照してください。
トラステッド・プロファイルのセッション期間の設定
詳しくは、トラステッド・プロファイルの更新を参照してください。
非アクティブ期間によるサインアウトの設定
非活動セッションとは、選択された期間中、ユーザが検証用のトークンを送信するリクエストを完了していない状態のことです。 非アクティブによるサインアウトの継続時間が1時間である場合、ユーザーがその時間内にアカウントで何もしていなければ、1時間後にサインアウトされます。 ユーザーの「非アクティブによるサインアウト」設定を更新するには、以下のステップを実行します。
- IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」をクリックし、「設定」**を選択します。
- 「ログイン・セッション」セクションで、「非アクティブのためサインアウト」タイルから編集アイコンをクリックします。
- 時間制限を入力します。 非アクティブ・セッションの最長期間は 24 時間です。
- 保存 をクリックします。
Terraform を使用した非アクティブ期間によるサインアウトの設定
非活動セッションとは、選択された期間中、ユーザが検証用のトークンを送信するリクエストを完了していない状態のことです。 非アクティブによるサインアウトの継続時間が1時間である場合、ユーザーがその時間内にアカウントで何もしていなければ、1時間後にサインアウトされます。 ユーザーの「非アクティブによるサインアウト」設定を更新するには、以下のステップを実行します。
Terraform を使用してユーザーの「非アクティブ状態でのサインアウト」期間を更新するには、以下の手順を実行します。
-
main.tfファイルに引数を作成します。 以下の例では、ibm_iam_account_settingsリソースとiam_account_settings_instanceリソースを使用して、非アクティブ・サインアウトを設定します。 -
アクティブでないためにセッションを無効にするまでの期間を秒単位で入力します。 サポートされる有効な値は以下のとおりです。
- 900 から 7200 までの任意の整数。
NOT_SETを使用すると、アカウントの設定値を設定せずにサービスのデフォルト値を使用することができます。
resource "ibm_iam_account_settings" "iam_account_settings_instance" { session_expiration_in_seconds = "3600" } -
main.tfファイルからリソースをプロビジョンします。 詳しくは、 Terraform を使用したインフラストラクチャーのプロビジョニングを参照してください。-
terraform planを実行して、提案されたアクションをプレビューするための Terraform 実行プランを生成します。terraform plan -
terraform applyを実行して、計画に定義されているリソースを作成します。terraform apply
-
詳しくは、Terraform の資料を参照してください。
許容並行セッション数の設定
アカウント・ユーザーに許可される最大並行セッション数を選択できます。 並行セッションとは、ユーザーが一度にサインインするアクティブ・セッションのことです。 ユーザーは、異なる複数のブラウザーを使用したり IBM Cloud CLI で複数回ログインしたりすることで、複数のセッションを開いておくことができます。 並列ワークロードの場合、複数並行セッションの方が有利です。
- IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」をクリックし、「設定」**を選択します。
- 「並行セッション」タイルから、編集・アイコン をクリックし、「無制限」ドロップダウン > セッションの制限をクリックします。
- 制限を入力します。 ユーザーが開くことができる並行セッションの数に制限はありません。
- 保存 をクリックします。
Terraform を使用した許容並行セッション数の設定
アカウント・ユーザーに許可される最大並行セッション数を選択できます。 並行セッションとは、ユーザーが一度にサインインするアクティブ・セッションのことです。 ユーザーは、異なる複数のブラウザーを使用したり IBM Cloud CLI で複数回ログインしたりすることで、複数のセッションを開いておくことができます。 並列ワークロードの場合、複数並行セッションの方が有利です。
Terraform を使用して、ユーザーに許可する並行セッション数を更新するには、以下の手順を実行します。
-
main.tfファイルに引数を作成します。 以下の例では、ibm_iam_account_settingsリソースとiam_account_settings_instanceリソースを使用して、許可される並行セッションの数を設定します。 -
アクティブでないためにセッションを無効にするまでの期間を秒単位で入力します。 サポートされる有効な値は以下のとおりです。
- 「0」より大きい整数。
NOT_SETを使用すると、アカウントの設定値を設定せずにサービスのデフォルト値を使用することができます。
resource "ibm_iam_account_settings" "iam_account_settings_instance" { max_sessions_per_identity = "3" } -
main.tfファイルからリソースをプロビジョンします。 詳しくは、 Terraform を使用したインフラストラクチャーのプロビジョニングを参照してください。-
terraform planを実行して、提案されたアクションをプレビューするための Terraform 実行プランを生成します。terraform plan -
terraform applyを実行して、計画に定義されているリソースを作成します。terraform apply
-
詳しくは、Terraform の資料を参照してください。
セッションの作成日時の判別
ログイン・セッション設定は、接続されたログイン・セッションがある場合にのみ適用されます。 ログイン・セッションが作成されない場合は、IAM トークンの制限が適用されます。 以下の表を使用して、各設定が適用される条件を確認することができます。
セッションは、ユーザーが IBM Cloud® CLI または IBM Cloud® コンソールにログインしたときに作成されます。 例えば、ユーザー API キーを作成し、それを IBM Cloud® CLI に使用すると、ログイン・セッションが生成されます。 ただし、同じ API キーを使用して API 呼び出しのトークンを作成した場合 (ユーザーまたはサービス ID の IAM アクセス・トークンの作成など)、セッションは生成されません。
| ログイン・タイプ | セッション数 | リフレッシュ・トークン |
|---|---|---|
| IBM Cloud® コンソール |  |
|
| IBM Cloud® CLI | |
|
| API 呼び出し |
| ログイン・タイプ | セッション数 | リフレッシュ・トークン |
|---|---|---|
| IBM Cloud® コンソール | |
|
| IBM Cloud® CLI | |
|
| API 呼び出し |
| ログイン・タイプ | セッション数 | リフレッシュ・トークン |
|---|---|---|
| IBM Cloud® コンソール | 該当なし | 該当なし |
| IBM Cloud® CLI | |
|
| API 呼び出し |