Utilizza una politica di negazione per revocare le autorizzazioni utente attive - AWS IAM Identity Center
Preparati a revocare una sessione di IAM ruolo attiva creata da un set di autorizzazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizza una politica di negazione per revocare le autorizzazioni utente attive

Potrebbe essere necessario revocare l'accesso di un utente di Identity Center a IAM Account AWS mentre l'utente utilizza attivamente un set di autorizzazioni. È possibile rimuovere la possibilità di utilizzare le sessioni di IAM ruolo attive implementando in anticipo una politica di negazione per un utente non specificato e, se necessario, è possibile aggiornare la politica di rifiuto per specificare l'utente di cui si desidera bloccare l'accesso. Questo argomento spiega come creare una policy Deny e alcune considerazioni su come implementarla.

Preparati a revocare una sessione di IAM ruolo attiva creata da un set di autorizzazioni

Puoi impedire all'utente di intraprendere azioni relative a un IAM ruolo che sta utilizzando attivamente applicando una politica di negazione totale per un utente specifico utilizzando una politica di controllo del servizio. Puoi anche impedire a un utente di utilizzare qualsiasi set di autorizzazioni finché non modifichi la sua password, in modo da rimuovere un malintenzionato che utilizza attivamente in modo improprio le credenziali rubate. Se è necessario negare l'accesso in modo generalizzato e impedire a un utente di accedere nuovamente a un set di autorizzazioni o ad altri set di autorizzazioni, è possibile anche rimuovere tutti gli accessi utente e interrompere l'accesso attivo AWS accedere alla sessione del portale e disabilitare l'accesso dell'utente. Scopri come utilizzare la politica Deny insieme ad azioni aggiuntive per una più ampia revoca dell'accesso. Revoca le sessioni di IAM ruolo attive create dai set di autorizzazioni

Politica di negazione

È possibile utilizzare una politica di rifiuto con una condizione corrispondente a quella dell'utente dell'UserIDarchivio di IAM identità di Identity Center per impedire ulteriori azioni da parte di un IAM ruolo che l'utente sta utilizzando attivamente. L'utilizzo di questa politica evita l'impatto sugli altri utenti che potrebbero utilizzare lo stesso set di autorizzazioni quando si implementa la politica Deny. Questa politica utilizza l'ID utente segnaposto, Aggiungi qui l'ID utente, per "identitystore:userId" questo dovrai aggiornare con l'ID utente per il quale desideri revocare l'accesso.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}

Sebbene sia possibile utilizzare un'altra chiave di condizione“aws:userId”, ad esempio, “identitystore:userId” è certa perché si tratta di un valore unico a livello globale associato a una persona. L'utilizzo della condizione può essere influenzato dal modo “aws:userId” in cui gli attributi utente vengono sincronizzati dall'origine delle identità e può cambiare se il nome utente o l'indirizzo e-mail dell'utente cambiano.

Dalla console di IAM Identity Center, puoi trovare un utente identitystore:userId accedendo a Utenti, cercando l'utente per nome, espandendo la sezione Informazioni generali e copiando l'ID utente. È anche comodo interrompere quello di un utente AWS accede alla sessione del portale e disabilita l'accesso all'accesso nella stessa sezione durante la ricerca dell'ID utente. È possibile automatizzare il processo di creazione di una politica di rifiuto ottenendo l'ID utente dell'utente interrogando l'archivio di identità. APIs

Implementazione della politica di negazione

È possibile utilizzare un ID utente segnaposto non valido, ad esempio per implementare in anticipo la politica Deny utilizzando una Service Control Policy () SCP allegata al Add user ID here Account AWS gli utenti potrebbero avere accesso a. Questo è l'approccio consigliato per la facilità e la velocità di impatto. Quando revochi l'accesso di un utente con la politica Nega, modificherai la politica per sostituire l'ID utente segnaposto con l'ID utente della persona di cui desideri revocare l'accesso. Ciò impedisce all'utente di intraprendere azioni con qualsiasi autorizzazione impostata in ogni account a cui colleghi. SCP Blocca le azioni dell'utente anche se utilizza il suo account attivo AWS accedi alla sessione del portale per accedere a diversi account e assumere ruoli diversi. Con l'accesso dell'utente completamente bloccato daSCP, puoi quindi disabilitare la sua capacità di accedere, revocare i suoi incarichi e interromperlo AWS accedere alla sessione del portale, se necessario.

In alternativa all'utilizzoSCPs, è possibile includere la politica Deny anche nella politica in linea dei set di autorizzazioni e nelle politiche gestite dai clienti utilizzate dai set di autorizzazioni a cui l'utente può accedere.

Se è necessario revocare l'accesso a più di una persona, è possibile utilizzare un elenco di valori nel blocco delle condizioni, ad esempio:


            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }
Importante

Indipendentemente dai metodi utilizzati, è necessario intraprendere qualsiasi altra azione correttiva e mantenere l'ID utente dell'utente nella politica per almeno 12 ore. Dopo tale periodo, tutti i ruoli assunti dall'utente scadono e puoi quindi rimuovere il relativo ID utente dalla politica Deny.