Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menonaktifkan izin untuk kredensial keamanan sementara
Kredensyal keamanan sementara berlaku hingga kedaluwarsa. Kredensyal ini berlaku untuk durasi yang ditentukan, dari 900 detik (15 menit) hingga maksimum 129.600 detik (36 jam). Durasi sesi default adalah 43.200 detik (12 jam). Anda dapat mencabut kredensi ini, tetapi Anda juga harus mengubah izin untuk peran tersebut untuk menghentikan penggunaan kredenal yang disusupi untuk aktivitas akun berbahaya. Izin yang ditetapkan untuk kredensyal keamanan sementara dievaluasi setiap kali digunakan untuk membuat permintaan. AWS Setelah Anda menghapus semua izin dari kredensyal, AWS permintaan yang menggunakannya gagal.
Mungkin perlu beberapa menit agar pembaruan kebijakan diterapkan. Cabut kredensyal keamanan sementara peran untuk memaksa semua pengguna yang mengasumsikan peran tersebut untuk mengautentikasi ulang dan meminta kredensyal baru.
Anda tidak dapat mengubah izin untuk file Pengguna root akun AWS. Demikian juga, Anda tidak dapat mengubah izin untuk kredensial keamanan sementara yang dibuat dengan memanggil GetFederationToken atau GetSessionToken saat masuk sebagai pengguna root. Karena alasan ini, kami menyarankan agar Anda tidak memanggil GetFederationToken atau GetSessionToken sebagai pengguna root.
penting
Anda tidak dapat mengedit peran di IAM yang dibuat dari kumpulan izin Pusat Identitas IAM. Anda harus mencabut sesi set izin aktif untuk pengguna di Pusat Identitas IAM. Untuk informasi selengkapnya, lihat Mencabut sesi peran IAM aktif yang dibuat oleh set izin di Panduan Pengguna Pusat Identitas IAM.
Topik
Tolak akses ke semua sesi yang terkait dengan peran
Gunakan pendekatan ini ketika Anda khawatir tentang akses yang mencurigakan dengan:
-
Prinsipal dari akun lain menggunakan akses lintas akun
-
Identitas pengguna eksternal dengan izin untuk mengakses AWS sumber daya di akun Anda
-
Pengguna yang telah diautentikasi dalam aplikasi seluler atau web dengan penyedia OIDC
Prosedur ini menolak izin untuk semua pengguna yang memiliki izin untuk mengambil peran.
Untuk mengubah atau menghapus izin yang ditetapkan ke kredenal keamanan sementara yang diperoleh dengan memanggilAssumeRole,, atauAssumeRoleWithSAML,, atau AssumeRoleWithWebIdentityGetFederationToken, atauGetSessionToken, Anda dapat mengedit atau menghapus kebijakan izin yang menentukan izin untuk peran tersebut.
penting
Jika ada kebijakan berbasis sumber daya yang memungkinkan akses utama, Anda juga harus menambahkan penolakan eksplisit untuk sumber daya tersebut. Lihat Tolak pengguna sesi dengan kebijakan berbasis sumber daya untuk detail.
-
Masuk ke AWS Management Console dan buka konsol IAM.
-
Di panel navigasi, pilih nama peran yang akan diedit. Anda dapat menggunakan kotak pencarian untuk memfilter daftar.
-
Pilih kebijakan yang relevan.
-
Pilih tab Izin.
-
Pilih tab JSON dan perbarui kebijakan untuk menolak semua sumber daya dan tindakan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*" } ] } -
Di halaman Tinjauan, tinjau Ringkasan kebijakan lalu pilih Simpan perubahan untuk menyimpan pekerjaan Anda.
Saat memperbarui kebijakan, perubahan akan memengaruhi izin semua kredenial keamanan sementara yang terkait dengan peran tersebut, termasuk kredenal yang dikeluarkan sebelum Anda mengubah kebijakan izin peran. Setelah memperbarui kebijakan, Anda dapat mencabut kredenal keamanan sementara peran tersebut untuk segera mencabut semua izin atas kredenal yang dikeluarkan peran tersebut.
Tolak akses ke sesi tertentu
Saat Anda memperbarui peran yang dapat diasumsikan dari iDP dengan kebijakan penolakan semua atau menghapus peran sepenuhnya, semua pengguna yang memiliki akses ke peran tersebut akan terganggu. Anda dapat menolak akses berdasarkan Principal elemen tanpa memengaruhi izin semua sesi lain yang terkait dengan peran tersebut.
Izin Principal dapat ditolak menggunakan kunci konteks kondisi atau kebijakan berbasis sumber daya.
Tip
Anda dapat menemukan ARN pengguna federasi menggunakan AWS CloudTrail log. Untuk informasi selengkapnya, lihat Cara Mudah Mengidentifikasi Pengguna Federasi Anda dengan Menggunakan AWS CloudTrail
Tolak sesi pengguna dengan tombol konteks kondisi
Anda dapat menggunakan kunci konteks kondisi dalam situasi di mana Anda ingin menolak akses ke sesi kredensi keamanan sementara tertentu tanpa memengaruhi izin pengguna IAM atau peran yang membuat kredensialnya.
Untuk informasi selengkapnya tentang kunci konteks kondisi, lihatAWS kunci konteks kondisi global.
catatan
Jika ada kebijakan berbasis sumber daya yang memungkinkan akses utama, Anda juga harus menambahkan pernyataan penolakan eksplisit pada kebijakan berbasis sumber daya setelah Anda menyelesaikan langkah-langkah ini.
Setelah memperbarui kebijakan, Anda dapat mencabut kredensyal keamanan sementara peran tersebut untuk segera mencabut semua kredensyal yang dikeluarkan.
aws: PrincipalArn
Anda dapat menggunakan kunci konteks kondisi aws: PrincipalArn untuk menolak akses ke ARN utama tertentu. Anda melakukannya dengan menentukan pengenal unik (ID) pengguna IAM, peran, atau pengguna federasi yang terkait dengan kredenal keamanan sementara dalam elemen Kondisi kebijakan.
-
Di panel navigasi konsol IAM, pilih nama peran yang akan diedit. Anda dapat menggunakan kotak pencarian untuk memfilter daftar.
-
Pilih kebijakan yang relevan.
-
Pilih tab Izin.
-
Pilih tab JSON dan tambahkan pernyataan penolakan untuk ARN utama seperti yang ditunjukkan pada contoh berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "ArnEquals": { "aws:PrincipalArn": [ "arn:aws:iam::222222222222:role/ROLENAME", "arn:aws:iam::222222222222:user/USERNAME", "arn:aws:sts::222222222222:federated-user/USERNAME" ] } } } ] } -
Di halaman Tinjauan, tinjau Ringkasan kebijakan lalu pilih Simpan perubahan untuk menyimpan pekerjaan Anda.
aws:userid
Anda dapat menggunakan kunci konteks kondisi aws:userid untuk menolak akses ke semua atau sesi kredensi keamanan sementara tertentu yang terkait dengan pengguna atau peran IAM. Anda melakukannya dengan menentukan pengenal unik (ID) pengguna IAM, peran, atau pengguna federasi yang terkait dengan kredenal keamanan sementara dalam elemen kebijakan. Condition
Kebijakan berikut menunjukkan contoh bagaimana Anda dapat menolak akses ke sesi kredensi keamanan sementara menggunakan kunci aws:userid konteks kondisi.
-
AIDAXUSER1mewakili pengenal unik untuk pengguna IAM. Menentukan pengenal unik pengguna IAM sebagai nilai untuk kunci konteksaws:useridakan menolak semua sesi yang terkait dengan pengguna IAM. -
AROAXROLE1mewakili pengidentifikasi unik untuk peran IAM. Menentukan pengenal unik peran IAM sebagai nilai untuk kunci konteksaws:useridakan menolak semua sesi yang terkait dengan peran tersebut. -
AROAXROLE2mewakili pengenal unik untuk sesi peran yang diasumsikan. Di bagian caller-specified-role-session -name dari pengidentifikasi unik peran yang diasumsikan, Anda dapat menentukan nama sesi peran atau karakter wildcard jika operator kondisi digunakan. StringLike Jika Anda menentukan nama sesi peran, itu akan menolak sesi peran bernama tanpa memengaruhi izin peran yang membuat kredensyal. Jika Anda menentukan wildcard untuk nama sesi peran, itu akan menolak semua sesi yang terkait dengan peran tersebut. -
account-id:<federated-user-caller-specified-name>mewakili pengenal unik untuk sesi pengguna federasi. Pengguna federasi dibuat oleh pengguna IAM yang memanggil API. GetFederationToken Jika Anda menentukan pengenal unik untuk pengguna federasi, itu akan menolak sesi pengguna federasi bernama tanpa memengaruhi izin peran yang membuat kredensialnya.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:userId": [ "AIDAXUSER1", "AROAXROLE1", "AROAXROLE2:<caller-specified-role-session-name>", "account-id:<federated-user-caller-specified-name>" ] } } } ] }
Untuk contoh spesifik dari nilai kunci utama, lihatNilai-nilai kunci utama. Untuk informasi tentang pengidentifikasi unik IAM, lihat. Pengidentifikasi unik
Tolak pengguna sesi dengan kebijakan berbasis sumber daya
Jika ARN utama juga termasuk dalam kebijakan berbasis sumber daya, Anda juga harus mencabut akses berdasarkan nilai pengguna principalId atau sourceIdentity nilai tertentu dalam elemen kebijakan berbasis sumber daya. Principal Jika Anda hanya memperbarui kebijakan izin untuk peran tersebut, pengguna tetap dapat melakukan tindakan yang diizinkan dalam kebijakan berbasis sumber daya.
-
Lihat AWS layanan yang bekerja dengan IAM untuk melihat apakah layanan mendukung kebijakan berbasis sumber daya.
-
Masuk ke AWS Management Console dan buka konsol untuk layanan ini. Setiap layanan memiliki lokasi yang berbeda di konsol untuk melampirkan kebijakan.
-
Edit pernyataan kebijakan untuk menentukan informasi identifikasi kredensi:
-
Di
Principal, masukkan ARN kredensi untuk ditolak. -
Masuk
Effect, masukkan “Deny.” -
Masuk
Action, masukkan namespace layanan dan nama tindakan yang akan ditolak. Untuk menolak semua tindakan, gunakan karakter wildcard (*). Misalnya: “s3: *.” -
Masuk
Resource, masukkan ARN dari sumber daya target. Misalnya: “arn:aws:s3: ::EXAMPLE-BUCKET.”
{ "Version": "2012-10-17", "Statement": { "Principal": [ "arn:aws:iam::222222222222:role/ROLENAME", "arn:aws:iam::222222222222:user/USERNAME", "arn:aws:sts::222222222222:federated-user/USERNAME" ], "Effect": "Deny", "Action": "s3:*", "Resource": "arn:aws:s3:::EXAMPLE-BUCKET" } } -
-
Simpan pekerjaan Anda.
