Utiliser une politique de refus pour révoquer les autorisations des utilisateurs actifs

Il se peut que vous deviez révoquer l'accès d'un utilisateur à IAM Identity Center Comptes AWS alors que celui-ci utilise activement un ensemble d'autorisations. Vous pouvez les empêcher d'utiliser leurs sessions de rôle IAM actives en implémentant à l'avance une politique de refus pour un utilisateur non spécifié, puis si nécessaire, vous pouvez mettre à jour la politique de refus pour spécifier l'utilisateur dont vous souhaitez bloquer l'accès. Cette rubrique explique comment créer une politique de refus et explique comment déployer la politique.

Préparez-vous à révoquer une session de rôle IAM active créée par un ensemble d'autorisations

Vous pouvez empêcher l'utilisateur de prendre des mesures avec un rôle IAM qu'il utilise activement en appliquant une politique de refus de tout à un utilisateur spécifique par le biais d'une politique de contrôle des services. Vous pouvez également empêcher un utilisateur d'utiliser un ensemble d'autorisations tant que vous n'avez pas modifié son mot de passe, ce qui permet de supprimer un mauvais acteur utilisant activement des informations d'identification volées à mauvais escient. Si vous devez refuser l'accès de manière générale et empêcher un utilisateur de saisir à nouveau un ensemble d'autorisations ou d'accéder à d'autres ensembles d'autorisations, vous pouvez également supprimer tous les accès des utilisateurs, arrêter la session active du portail d' AWS accès et désactiver la connexion de l'utilisateur. Consultez Révoquer les sessions de rôle IAM actives créées par des ensembles d'autorisations pour savoir comment utiliser la politique de refus en conjonction avec des actions supplémentaires pour une révocation d'accès plus large.

Politique de refus

Vous pouvez utiliser une politique de refus assortie d'une condition correspondant à celle UserID de l'utilisateur figurant dans la banque d'identités IAM Identity Center afin d'empêcher d'autres actions d'un rôle IAM que l'utilisateur utilise activement. L'utilisation de cette politique permet d'éviter tout impact sur les autres utilisateurs susceptibles d'utiliser le même ensemble d'autorisations lorsque vous déployez la politique de refus. Cette politique utilise l'identifiant utilisateur fictif. Pour "identitystore:userId" cela Add user ID here, vous allez le mettre à jour avec le nom d'utilisateur pour lequel vous souhaitez révoquer l'accès.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}

Bien que vous puissiez utiliser une autre clé de condition“aws:userId”, telle que, elle “identitystore:userId” est certaine, car il s'agit d'une valeur unique au monde associée à une personne. L'utilisation “aws:userId” dans cette condition peut être affectée par la façon dont les attributs utilisateur sont synchronisés à partir de votre source d'identités et peut changer si le nom d'utilisateur ou l'adresse e-mail de l'utilisateur changent.

Dans la console IAM Identity Center, vous pouvez trouver celui d'un utilisateur identitystore:userId en accédant à Utilisateurs, en recherchant l'utilisateur par son nom, en développant la section Informations générales et en copiant l'ID utilisateur. Il est également pratique d'arrêter la session du portail d' AWS accès d'un utilisateur et de désactiver son accès de connexion dans la même section lors de la recherche de son nom d'utilisateur. Vous pouvez automatiser le processus de création d'une politique de refus en obtenant l'ID utilisateur de l'utilisateur en interrogeant les API du magasin d'identités.

Déploiement de la politique de refus

Vous pouvez utiliser un identifiant utilisateur fictif qui n'est pas valide, par exemple pour déployer la politique de refus à l'avance à l'aide d'une politique de contrôle des services (SCP) que vous attachez aux Comptes AWS utilisateurs susceptibles d'avoir accès. Add user ID here C'est l'approche recommandée pour sa facilité et sa rapidité d'impact. Lorsque vous révoquez l'accès d'un utilisateur à l'aide de la politique de refus, vous modifiez la politique pour remplacer l'ID utilisateur fictif par l'ID utilisateur de la personne dont vous souhaitez révoquer l'accès. Cela empêche l'utilisateur d'effectuer des actions avec les autorisations définies dans chaque compte auquel vous associez le SCP. Il bloque les actions de l'utilisateur même s'il utilise sa session de portail AWS d'accès active pour accéder à différents comptes et assumer différents rôles. L'accès de l'utilisateur étant totalement bloqué par le SCP, vous pouvez alors désactiver sa capacité à se connecter, révoquer ses attributions et arrêter sa session sur le portail AWS d'accès si nécessaire.

Au lieu d'utiliser des SCP, vous pouvez également inclure la politique de refus dans la politique intégrée des ensembles d'autorisations et dans les politiques gérées par le client qui sont utilisées par les ensembles d'autorisations auxquels l'utilisateur peut accéder.

Si vous devez révoquer l'accès à plusieurs personnes, vous pouvez utiliser une liste de valeurs dans le bloc de conditions, telles que :

            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }

Important

Quelle que soit la ou les méthodes que vous utilisez, vous devez prendre toute autre mesure corrective et conserver le nom d'utilisateur de l'utilisateur dans la politique pendant au moins 12 heures. Passé ce délai, tous les rôles assumés par l'utilisateur expirent et vous pouvez alors supprimer son ID utilisateur de la politique de refus.