Prepárese para revocar una sesión de IAM rol activa creada por un conjunto de permisos

Utilice una política de denegación para revocar los permisos de los usuarios activos

Es posible que tenga que revocar el acceso de un usuario de IAM Identity Center Cuentas de AWS mientras el usuario esté utilizando activamente un conjunto de permisos. Puede eliminar su capacidad de usar sus sesiones de IAM rol activas implementando una política de denegación para un usuario no especificado por adelantado y, cuando sea necesario, puede actualizar la política de denegación para especificar el usuario cuyo acceso desea bloquear. En este tema se explica cómo crear una política de denegación y las consideraciones sobre cómo implementarla.

Prepárese para revocar una sesión de IAM rol activa creada por un conjunto de permisos

Puede impedir que el usuario tome medidas con un IAM rol que esté utilizando activamente aplicando una política de denegación de acceso a un usuario específico mediante el uso de una política de control de servicios. También puede impedir que un usuario utilice cualquier conjunto de permisos hasta que cambie su contraseña, lo que elimina el mal uso o el uso indebido de credenciales robadas. Si necesita denegar el acceso de forma generalizada e impedir que un usuario vuelva a entrar en un conjunto de permisos o acceda a otros conjuntos de permisos, también puede eliminar todos los accesos de los usuarios, detener la sesión activa del portal de AWS acceso e inhabilitar el inicio de sesión del usuario. Consulte Revoca las sesiones de IAM roles activas creadas por conjuntos de permisos para obtener información sobre cómo usar la política de denegación junto con acciones adicionales para una revocación de acceso más amplia.

Política de denegación

Puede utilizar una política de denegación con una condición que coincida con la del usuario en el almacén UserID de IAM identidades del Centro de Identidad para evitar que un IAM rol que el usuario esté utilizando activamente lleve a cabo acciones adicionales. El uso de esta política evita que otros usuarios puedan estar utilizando el mismo conjunto de permisos al implementar la política de denegación. Esta política utiliza el identificador de usuario del marcador de posición, Añada aquí su seudónimo, para "identitystore:userId" ello, lo actualizarás con el seudónimo al que deseas revocar el acceso.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}

Aunque puedes usar otra clave de condición, por ejemplo“aws:userId”, “identitystore:userId” es cierto que se trata de un valor único a nivel mundial que está asociado a una persona. El uso de esta condición puede verse afectado por la forma “aws:userId” en que se sincronizan los atributos del usuario con respecto a la fuente de identidades y puede cambiar si el nombre de usuario o la dirección de correo electrónico del usuario cambian.

En la consola de IAM Identity Center, puede buscar el nombre de identitystore:userId un usuario. Para ello, vaya a Usuarios, busque el usuario por su nombre, amplíe la sección de información general y copie el seudónimo. También es práctico detener la sesión del portal de AWS acceso de un usuario e inhabilitar su acceso de inicio de sesión en la misma sección mientras busca el seudónimo. Para automatizar el proceso de creación de una política de denegación, obtenga el seudónimo del usuario consultando el almacén de identidades. APIs

Implementación de la política de denegación

Puede utilizar un seudónimo que no sea válido, por ejemploAdd user ID here, para implementar la política de denegación por anticipado mediante una política de control de servicios (SCP) que adjunte a Cuentas de AWS los usuarios a la que puedan tener acceso. Este es el enfoque recomendado por su facilidad y rapidez de impacto. Cuando revoques el acceso de un usuario con la política de denegación, editarás la política para reemplazar el seudónimo por el seudónimo de la persona cuyo acceso deseas revocar. Esto impide que el usuario realice ninguna acción con los permisos establecidos en todas las cuentas a las que asocies. SCP Bloquea las acciones del usuario incluso si utiliza su sesión activa en el portal de AWS acceso para navegar a diferentes cuentas y asumir funciones diferentes. Con el acceso del usuario totalmente bloqueado por elSCP, puede deshabilitar su capacidad de iniciar sesión, revocar sus asignaciones y detener su sesión en el portal de AWS acceso si es necesario.

Como alternativa al usoSCPs, también puedes incluir la política de denegación en la política integrada de conjuntos de permisos y en las políticas gestionadas por los clientes que utilizan los conjuntos de permisos a los que el usuario puede acceder.

Si debe revocar el acceso a más de una persona, puede utilizar una lista de valores en el bloque de condiciones, como:



            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }

importante

Independientemente del método o los métodos que utilices, debes tomar cualquier otra medida correctiva y mantener el seudónimo del usuario en la política durante al menos 12 horas. Transcurrido ese tiempo, todas las funciones que el usuario haya asumido caducarán y, a continuación, podrá eliminar su seudónimo de la política de denegación.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configura el estado de retransmisión

Hacer referencia a conjuntos de permisos en las políticas de recursosEKS, Amazon y AWS KMS