本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用拒絕政策撤銷作用中使用者權限
當使用者主動使用權限集 AWS 帳戶 時,您可能需要撤銷 IAM 身分中心使用者的存取權限。您可以預先為未指定的使用者實作拒絕政策,以移除他們使用其使用中 IAM 角色工作階段的能力,然後在需要時更新拒絕政策以指定要封鎖其存取權的使用者。本主題說明如何建立拒絕原則,以及如何部署原則的考量事項。
準備撤銷由權限集建立的作用中 IAM 角色工作階段
您可以透過使用服務控制政策套用拒絕特定使用者的所有政策,以防止使用者使用他們正在使用的 IAM 角色採取動作。您也可以防止使用者在變更其密碼之前使用任何權限集,從而移除不良行為者主動濫用竊取的憑證。如果您需要廣泛拒絕存取,並防止使用者重新輸入權限集或存取其他權限集,您也可以移除所有使用者存取、停止使用中存 AWS 取入口網站工作階段,以及停用使用者登入。請參閱撤銷由權限集建立的作用中 IAM 角色工作階段以了解如何將「拒絕」原則與其他動作搭配使用,以取得更廣泛的存取撤銷。
拒絕政策
您可以使用「拒絕」政策,且條件與 IAM Identity Center 身分識別存放區UserID中的使用者相符,以防止使用者正在使用的 IAM 角色進一步採取行動。使用此原則可避免對在您部署拒絕原則時可能使用相同權限集的其他使用者造成影響。此原則會使用預留位置使用者 ID Add user ID
here"identitystore:userId"因此您將使用想要撤銷其存取權的使用者 ID 進行更新。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "*" ], "Resource": "*", "Condition": { "StringEquals": { "identitystore:userId": "Add user ID here" } } } ] }
儘管您可以使用另一個條件鍵,例如“aws:userId”,但“identitystore:userId”是肯定的,因為它是與一個人相關聯的全局唯一值。在條件“aws:userId”中使用可能會受到從身分來源同步處理使用者屬性的方式影響,並且可能會在使用者的使用者名稱或電子郵件地址變更時進行變更。
從 IAM Identity Center 主控台,您可以瀏覽至使用者、identitystore:userId依名稱搜尋使用者、展開 [一般資訊] 區段,然後複製使用者 ID,以尋找使用者的資訊。在搜索用戶 ID 時,在同一部分中停止用戶訪問門戶會話並禁用其登錄訪問權限也很方便。 AWS 您可以透過查詢身分識別身分存放區 API 來取得使用者的使用者識別碼,以自動化建立「拒絕」策略的程序。
部署拒絕策略
您可以使用無效的預留位置使用者識別碼 (例如Add user ID here
除了使用 SCP 之外,您也可以將「拒絕」原則包含在權限集的內嵌原則中,以及使用者可以存取的權限集所使用的客戶管理策略中。
如果您必須撤銷多個人員的存取權,您可以在條件區塊中使用值清單,例如:
"Condition": { "StringEquals": { "identitystore:userId": ["user1 userId", "user2 userId"...] } }
重要
無論您使用哪種方法,您都必須採取任何其他更正措施,並將使用者的使用者 ID 保留在政策中至少 12 小時。在此之後,使用者假設的任何角色都會過期,然後您就可以從拒絕策略中移除其使用者識別碼。
