Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie eine Ablehnungsrichtlinie, um aktiven Benutzerberechtigungen zu entziehen

Möglicherweise müssen Sie einem IAM Identity Center-Benutzer den Zugriff entziehen, AWS-Konten während der Benutzer aktiv einen Berechtigungssatz verwendet. Sie können ihnen die Nutzung ihrer aktiven IAM Rollensitzungen entziehen, indem Sie im Voraus eine Ablehnungsrichtlinie für einen nicht spezifizierten Benutzer implementieren. Anschließend können Sie die Verweigerungsrichtlinie bei Bedarf aktualisieren, um den Benutzer anzugeben, dessen Zugriff Sie blockieren möchten. In diesem Thema wird erklärt, wie eine Ablehnungsrichtlinie erstellt wird, und es werden Überlegungen zur Implementierung der Richtlinie angestellt.

Bereiten Sie sich darauf vor, eine aktive IAM Rollensitzung zu widerrufen, die mit einem Berechtigungssatz erstellt wurde

Sie können verhindern, dass der Benutzer mit einer IAM Rolle, die er aktiv verwendet, Aktionen ausführt, indem Sie mithilfe einer Service Control-Richtlinie eine „Alle verweigern“ -Richtlinie für einen bestimmten Benutzer anwenden. Sie können auch verhindern, dass ein Benutzer einen beliebigen Berechtigungssatz verwendet, bis Sie sein Passwort ändern. Dadurch wird verhindert, dass ein böswilliger Akteur gestohlene Anmeldeinformationen aktiv missbraucht. Wenn Sie den Zugriff generell verweigern und verhindern möchten, dass ein Benutzer erneut einen Berechtigungssatz eingibt oder auf andere Berechtigungssätze zugreift, können Sie auch den gesamten Benutzerzugriff entfernen, die aktive AWS Access-Portalsitzung beenden und die Benutzeranmeldung deaktivieren. Weitere Informationen Widerrufen Sie aktive IAM Rollensitzungen, die mit Berechtigungssätzen erstellt wurden zur Verwendung der Richtlinie „Verweigern“ in Verbindung mit zusätzlichen Aktionen für eine umfassendere Sperrung des Zugriffs finden Sie unter.

Richtlinie „Ablehnen“

Sie können eine Ablehnungsrichtlinie mit einer Bedingung verwenden, die der Bedingung des Benutzers UserID aus dem IAM Identity Center-Identitätsspeicher entspricht, um weitere Aktionen einer IAM Rolle zu verhindern, die der Benutzer aktiv verwendet. Durch die Verwendung dieser Richtlinie werden Auswirkungen auf andere Benutzer vermieden, die bei der Bereitstellung der Ablehnungsrichtlinie möglicherweise denselben Berechtigungssatz verwenden. Diese Richtlinie verwendet die Platzhalter-Benutzer-ID Fügen Sie hier die Benutzer-ID hinzu, aktualisieren Sie "identitystore:userId" dazu mit der Benutzer-ID, für die Sie den Zugriff widerrufen möchten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}

Sie könnten zwar einen anderen Bedingungsschlüssel wie“aws:userId”, verwenden, “identitystore:userId” ist sicher, weil es sich um einen global eindeutigen Wert handelt, der einer Person zugeordnet ist. Die Verwendung “aws:userId” in der Bedingung kann davon abhängen, wie Benutzerattribute anhand Ihrer Identitätsquelle synchronisiert werden, und kann sich ändern, wenn sich der Benutzername oder die E-Mail-Adresse des Benutzers ändert.

In der IAM Identity Center-Konsole können Sie nach Benutzern suchen, identitystore:userId indem Sie zu Benutzer navigieren, anhand des Namens nach dem Benutzer suchen, den Abschnitt Allgemeine Informationen erweitern und die Benutzer-ID kopieren. Es ist auch praktisch, die AWS Access-Portal-Sitzung eines Benutzers zu beenden und seinen Anmeldezugriff im selben Abschnitt zu deaktivieren, während Sie nach der Benutzer-ID suchen. Sie können den Prozess zur Erstellung einer Ablehnungsrichtlinie automatisieren, indem Sie die Benutzer-ID des Benutzers durch Abfragen des Identitätsspeichers abrufen. APIs

Bereitstellen der Ablehnungsrichtlinie

Sie können eine ungültige Platzhalter-Benutzer-ID verwenden, z. B. Add user ID here um die Ablehnungsrichtlinie im Voraus mithilfe einer Service Control-Richtlinie (SCP) bereitzustellen, die Sie an die AWS-Konten Benutzer anhängen, auf die sie möglicherweise Zugriff haben. Dieser Ansatz wird aufgrund seiner einfachen und schnellen Wirkung empfohlen. Wenn Sie einem Benutzer den Zugriff mit der Richtlinie „Verweigern“ entziehen, bearbeiten Sie die Richtlinie so, dass die Platzhalter-Benutzer-ID durch die Benutzer-ID der Person ersetzt wird, deren Zugriff Sie widerrufen möchten. Dadurch wird verhindert, dass der Benutzer mit beliebigen Berechtigungen in jedem Konto, das Sie verknüpfen, Aktionen ausführt. SCP Es blockiert die Aktionen des Benutzers, auch wenn er seine Active AWS Access-Portal-Sitzung verwendet, um zu verschiedenen Konten zu navigieren und verschiedene Rollen anzunehmen. Wenn der Zugriff des Benutzers durch den vollständig gesperrt istSCP, können Sie ihm dann die Möglichkeit nehmen, sich anzumelden, seine Zuweisungen zu widerrufen und seine AWS Access-Portal-Sitzung bei Bedarf zu beenden.

Als Alternative zur Verwendung SCPs können Sie die Richtlinie „Verweigern“ auch in die Inline-Richtlinie für Berechtigungssätze und in vom Kunden verwaltete Richtlinien aufnehmen, die von den Berechtigungssätzen verwendet werden, auf die der Benutzer zugreifen kann.

Wenn Sie den Zugriff für mehr als eine Person widerrufen müssen, können Sie im Bedingungsblock eine Liste mit Werten verwenden, z. B.:

            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }