Deaktivieren von Berechtigungen für temporäre Sicherheitsanmeldeinformationen

Temporäre Sicherheitsanmeldeinformationen sind bis zu ihrem Ablauf gültig. Diese Anmeldeinformationen sind für die angegebene Dauer von 900 Sekunden (15  Minuten) bis maximal 129 600 Sekunden (36 Stunden) gültig. Die Standardsitzungsdauer beträgt 43 200 Sekunden (12 Stunden). Sie können diese Anmeldeinformationen widerrufen, müssen aber auch die Berechtigungen für die Rolle ändern, um die Nutzung kompromittierter Anmeldeinformationen für bösartige Kontoaktivitäten zu verhindern. Berechtigungen, die temporären Sicherheitsanmeldedaten zugewiesen wurden, werden jedes Mal bewertet, wenn sie für eine AWS Anfrage verwendet werden. Sobald Sie alle Berechtigungen aus den Anmeldeinformationen entfernt haben, schlagen AWS Anfragen, die sie verwenden, fehl.

Es kann einige Minuten dauern, bis Richtlinienaktualisierungen wirksam werden. Widerrufen Sie die temporären Sicherheitsanmeldeinformationen der Rolle, um alle Benutzer, die die Rolle annehmen, zu einer erneuten Authentifizierung und der Anforderung neuer Anmeldeinformationen zu zwingen.

Sie können die Berechtigungen für eine nicht ändern Root-Benutzer des AWS-Kontos. Ebenso können die Berechtigungen für die temporären Sicherheitsanmeldeinformationen nicht geändert werden, die durch Aufrufen von GetFederationToken oder GetSessionToken erstellt wurden, während der Benutzer als Stammbenutzer angemeldet war. Daher empfehlen wir, dass Sie GetFederationToken oder GetSessionToken nicht als Stammbenutzer aufrufen.

Wichtig

Sie können in IAM keine Rollen bearbeiten, die anhand von IAM Identity Center-Berechtigungssätzen erstellt wurden. Sie müssen die aktive Sitzung mit dem Berechtigungssatz für einen Benutzer in IAM Identity Center widerrufen. Weitere Informationen finden Sie unter Widerrufen aktiver IAM-Rollensitzungen, die mit Berechtigungssätzen erstellt wurden, im IAM Identity Center-Benutzerhandbuch.

Zugriff auf alle mit einer Rolle verknüpften Sitzungen verweigern

Verwenden Sie diesen Ansatz, wenn Sie Bedenken hinsichtlich verdächtiger Zugriffe durch Folgendes haben:

• Prinzipale von einem anderen Konto mit kontoübergreifendem Zugriff

• Externe Benutzeridentitäten mit Berechtigungen für den Zugriff auf AWS Ressourcen in Ihrem Konto

• Benutzer, die in einer Mobil- oder Webanwendung bei einem OIDC-Anbieter authentifiziert wurden

Dieses Verfahren verweigert allen Benutzern, die die Berechtigung haben, eine Rolle zu übernehmen, die Berechtigung.

Um die Berechtigungen zu ändern oder zu entfernen, die den temporären Sicherheitsanmeldeinformationen zugewiesen sind, die Sie durch Aufrufen von AssumeRole, AssumeRoleWithSAML oder AssumeRoleWithWebIdentity, GetFederationToken oder GetSessionToken erhalten, können Sie die Berechtigungsrichtlinie, die die Berechtigungen für die Rolle definiert, bearbeiten oder löschen.

Wichtig

Wenn es eine ressourcenbasierte Richtlinie gibt, die dem Prinzipal Zugriff gewährt, müssen Sie auch eine explizite Ablehnung für diese Ressource hinzufügen. Details dazu finden Sie unter Einen Sitzungsbenutzer mit ressourcenbasierten Richtlinien verweigern.

1. Melden Sie sich bei der IAM-Konsole an AWS Management Console und öffnen Sie sie.

2. Wählen Sie im Navigationsbereich den Namen der Rolle aus, die Sie bearbeiten möchten. Sie können das Suchfeld verwenden, um die Liste zu filtern.

3. Wählen Sie die entsprechende Richtlinie aus.

4. Wählen Sie die Registerkarte Berechtigungen.

5. Wählen Sie die Registerkarte JSON und aktualisieren Sie die Richtlinie, um alle Ressourcen und Aktionen zu verweigern.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*"
       }
     ]
   }

6. Überprüfen Sie auf der Seite Review (Prüfen) unter Summary (Übersicht) die Richtlinienzusammenfassung und wählen Sie dann Save changes (Änderungen speichern) aus, um Ihre Eingaben zu speichern.

Wenn Sie die Richtlinie aktualisieren, wirken sich die Änderungen auf die Berechtigungen aller temporären Anmeldeinformationen aus, die mit der Rolle verknüpft sind. Dies gilt auch für Anmeldeinformationen, die ausgestellt wurden, bevor Sie die Richtlinie für die Berechtigungen der Rolle geändert haben. Nachdem Sie die Richtlinie aktualisiert haben, können Sie die temporären Sicherheitsanmeldeinformationen der Rolle widerrufen, um sofort alle Berechtigungen für die ausgegebenen Anmeldeinformationen der Rolle zu entziehen.

Zugriff auf eine bestimmte Sitzung verweigern

Wenn Sie die Rollen, die von einem IdP übernommen werden können, mit einer „Alles verweigern“-Richtlinie aktualisieren oder die Rolle vollständig löschen, werden alle Benutzer, die Zugriff auf die Rolle haben, beeinträchtigt. Sie können den Zugriff basierend auf dem Principal-Element verweigern, ohne dass dies Auswirkungen auf die Berechtigungen aller anderen Sitzungen, die mit der Rolle verknüpft sind, hat.

Dem Principal können mithilfe von Bedingungskontextschlüsseln oder ressourcenbasierten Richtlinien Berechtigungen verweigert werden.

Tipp

Sie können die ARNs von Verbundbenutzern mithilfe von Protokollen ermitteln. AWS CloudTrail Weitere Informationen finden Sie unter So identifizieren Sie Ihre Verbundbenutzer auf einfache Weise mithilfe von. AWS CloudTrail

Eine Benutzersitzung mit Bedingungskontextschlüsseln verweigern

Sie können Bedingungskontextschlüssel in Situationen verwenden, in denen Sie den Zugriff auf bestimmte temporäre Anmeldeinformationssitzungen verweigern möchten, ohne dass sich dies auf die Berechtigungen des IAM-Benutzers oder der Rolle auswirkt, der/die die Anmeldeinformationen erstellt hat.

Weitere Informationen zu Bedingungskontextschlüsseln finden Sie unter AWS Kontextschlüssel für globale Bedingungen.

Anmerkung

Wenn es eine ressourcenbasierte Richtlinie gibt, die dem Prinzipal Zugriff gewährt, müssen Sie nach Abschluss dieser Schritte auch eine explizite Verweigerungsanweisung zur ressourcenbasierten Richtlinie hinzufügen.

Nachdem Sie die Richtlinie aktualisiert haben, können Sie die temporären Anmeldeinformationen der Rolle widerrufen, um alle ausgestellten Anmeldeinformationen sofort zu entziehen.

als: PrincipalArn

Sie können den Bedingungskontextschlüssel war: PrincipalArn verwenden, um den Zugriff auf einen bestimmten Prinzipal-ARN zu verweigern. Dazu geben Sie im Bedingungselement einer Richtlinie die eindeutige Kennung (ID) des IAM-Benutzers, der Rolle oder des Verbundbenutzers an, dem die temporären Anmeldeinformationen zugeordnet sind.

1. Wählen Sie im Navigationsbereich der IAM-Konsole den Namen der Rolle aus, die Sie bearbeiten möchten. Sie können das Suchfeld verwenden, um die Liste zu filtern.

2. Wählen Sie die entsprechende Richtlinie aus.

3. Wählen Sie die Registerkarte Berechtigungen.

4. Wählen Sie die Registerkarte JSON und fügen Sie eine Verweigerungsanweisung für den Prinzipal-ARN hinzu, wie im folgenden Beispiel gezeigt.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
           "ArnEquals": {
             "aws:PrincipalArn": [
               "arn:aws:iam::222222222222:role/ROLENAME",
               "arn:aws:iam::222222222222:user/USERNAME",
               "arn:aws:sts::222222222222:federated-user/USERNAME" 
             ]
           }
         }
       }
     ]
   }

5. Überprüfen Sie auf der Seite Review (Prüfen) unter Summary (Übersicht) die Richtlinienzusammenfassung und wählen Sie dann Save changes (Änderungen speichern) aus, um Ihre Eingaben zu speichern.

aws:userid

Mit dem Bedingungskontextschlüssel aws:userid können Sie den Zugriff auf alle oder bestimmte temporäre Sicherheitsanmeldeinformationssitzungen verweigern, die mit dem IAM-Benutzer oder der IAM-Rolle verknüpft sind. Dazu geben Sie im Condition-Element einer Richtlinie die eindeutige Kennung (ID) des IAM-Benutzers, der IAM-Rolle oder des Verbundbenutzers an, mit dem die temporären Sicherheitsanmeldeinformationen verknüpft sind.

Die folgende Richtlinie zeigt ein Beispiel dafür, wie Sie den Zugriff auf temporäre Sicherheitsanmeldeinformationssitzungen mithilfe des Bedingungskontextschlüssels aws:userid verweigern können.

• AIDAXUSER1 stellt die eindeutige Kennung für einen IAM-Benutzer dar. Durch die Angabe der eindeutigen Kennung eines IAM-Benutzers als Wert für den Kontextschlüssel aws:userid werden alle mit dem IAM-Benutzer verknüpften Sitzungen abgelehnt.

• AROAXROLE1 stellt die eindeutige Kennung für eine IAM-Rolle dar. Wenn Sie den eindeutigen Bezeichner einer IAM-Rolle als Wert für den Kontextschlüssel aws:userid angeben, werden alle mit der Rolle verknüpften Sitzungen abgelehnt.

• AROAXROLE2 stellt die eindeutige Kennung für eine Sitzung mit angenommener Rolle dar. Im Abschnitt „ caller-specified-role-session-name“ des eindeutigen Bezeichners für die angenommene Rolle können Sie einen Namen für die Rollensitzung oder ein Platzhalterzeichen angeben, wenn der StringLike Bedingungsoperator verwendet wird. Wenn Sie den Namen der Rollensitzung angeben, wird die benannte Rollensitzung verweigert, ohne dass dies Auswirkungen auf die Berechtigungen der Rolle hat, die die Anmeldeinformationen erstellt hat. Durch die Angabe eines Platzhalters für den Rollensitzungsnamen, werden alle mit der Rolle verknüpften Sitzungen abgelehnt.

• account-id:<federated-user-caller-specified-name> stellt die eindeutige Kennung für eine Verbundbenutzersitzung dar. Ein Verbundbenutzer wird von einem IAM-Benutzer erstellt, der die API aufruft. GetFederationToken Wenn Sie die eindeutige Kennung für einen Verbundbenutzer angeben, wird die Sitzung des benannten Verbundbenutzers verweigert, ohne dass dies Auswirkungen auf die Berechtigungen der Rolle hat, die die Anmeldeinformationen erstellt hat.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:userId": [
            "AIDAXUSER1",
            "AROAXROLE1",
            "AROAXROLE2:<caller-specified-role-session-name>",
            "account-id:<federated-user-caller-specified-name>"
          ]
        }
      }
    }
  ]
}

Konkrete Beispiele für Hauptschlüsselwerte finden Sie unter Auftraggeber-Schlüsselwerte. Informationen zu eindeutigen IAM-Identifikatoren finden Sie unter Eindeutige Bezeichner.

Einen Sitzungsbenutzer mit ressourcenbasierten Richtlinien verweigern

Wenn der Prinzipl-ARN auch in ressourcenbasierten Richtlinien enthalten ist, müssen Sie den Zugriff auch basierend auf den principalId- oder sourceIdentity-Werten des jeweiligen Benutzers im Principal-Element einer ressourcenbasierten Richtlinie widerrufen. Wenn Sie nur die Berechtigungsrichtlinie für die Rolle aktualisieren, kann der Benutzer weiterhin die in der ressourcenbasierten Richtlinie zulässigen Aktionen ausführen.

1. Lesen Sie in AWS Dienste, die mit IAM funktionieren nach, ob der Service ressourcenbasierte Richtlinien unterstützt.

2. Melden Sie sich bei dem an AWS Management Console und öffnen Sie die Konsole für den Dienst. Jeder Service verfügt über einen anderen Standort in der Konsole zum Anfügen von Richtlinien.

3. Bearbeiten Sie die Richtlinienanweisung, um die identifizierenden Informationen der Anmeldeinformationen anzugeben:

   1. Geben Sie unter Principal die ARN der Anmeldeinformation ein, die verweigert werden soll.

   2. Geben Sie unter Effect „Verweigern“ ein.

   3. Geben Sie unter Action den Service-Namespace und den Namen der abzulehnenden Aktion ein. Um alle Aktionen zu verweigern, verwenden Sie das Platzhalterzeichen (*). Zum Beispiel: „s3:*.“

   4. Geben Sie unter Resource den ARN der Zielressource ein. Zum Beispiel: „arn:aws:s3:::EXAMPLE-BUCKET.“

   {
   "Version": "2012-10-17",
     "Statement": {
       "Principal": [
               "arn:aws:iam::222222222222:role/ROLENAME",
               "arn:aws:iam::222222222222:user/USERNAME",
               "arn:aws:sts::222222222222:federated-user/USERNAME" 
       ],
       "Effect": "Deny",
       "Action": "s3:*",
       "Resource": "arn:aws:s3:::EXAMPLE-BUCKET"
     }
   }

4. Speichern Sie Ihre Arbeit.