Utilice una política de denegación para revocar los permisos de los usuarios activos - AWS IAM Identity Center
Prepárese para revocar una sesión de IAM rol activa creada por un conjunto de permisos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilice una política de denegación para revocar los permisos de los usuarios activos

Es posible que deba revocar el acceso de un usuario de IAM Identity Center Cuentas de AWS mientras el usuario esté utilizando activamente un conjunto de permisos. Puede eliminar su capacidad de usar sus sesiones de IAM rol activas implementando una política de denegación para un usuario no especificado por adelantado y, cuando sea necesario, puede actualizar la política de denegación para especificar el usuario cuyo acceso desea bloquear. En este tema, se explica cómo crear una política de denegación y las consideraciones sobre cómo implementar la política.

Prepárese para revocar una sesión de IAM rol activa creada por un conjunto de permisos

Puede impedir que el usuario tome medidas con un IAM rol que esté utilizando activamente aplicando una política de denegación de acceso a un usuario específico mediante el uso de una política de control de servicios. También puede impedir que un usuario utilice cualquier conjunto de permisos hasta que cambie su contraseña, lo que elimina el mal uso o el uso indebido de credenciales robadas. Si necesita denegar el acceso de forma generalizada e impedir que un usuario vuelva a entrar en un conjunto de permisos o acceda a otros conjuntos de permisos, también puede eliminar todos los accesos de los usuarios, detener la sesión activa del portal de acceso AWS e inhabilitar el inicio de sesión del usuario. Consulte Revoca las sesiones de IAM roles activas creadas por conjuntos de permisos para obtener información sobre cómo usar la política de denegación junto con acciones adicionales para una revocación de acceso más amplia.

Política de denegación

Puede usar una política de denegación con una condición que coincida con la del usuario del almacén UserID de IAM identidades del Centro de Identidad para evitar que un IAM rol que el usuario esté utilizando activamente realice acciones adicionales. El uso de esta política evita que otros usuarios puedan estar utilizando el mismo conjunto de permisos al implementar la política de denegación. Esta política utiliza el marcador de posición de ID de usuario, Add user ID here, para "identitystore:userId" que deberá actualizarlo con el ID de usuario al que desee revocar el acceso.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}

Aunque puede usar otra clave de condición, por ejemplo, “aws:userId”, “identitystore:userId” es cierto que se trata de un valor único a nivel mundial que está asociado a una persona. El uso de “aws:userId” en esta condición puede verse afectado por la forma en que se sincronizan los atributos del usuario con respecto a la fuente de identidades y puede cambiar si el nombre de usuario o la dirección de correo electrónico del usuario cambian.

En la consola de IAM Identity Center, puede buscar el nombre de identitystore:userId un usuario. Para ello, vaya a Usuarios, busque el usuario por su nombre, amplíe la sección de información general y copie el seudónimo. También es práctico detener la sesión del portal de AWS acceso de un usuario e inhabilitar su acceso de inicio de sesión en la misma sección mientras busca el seudónimo. Para automatizar el proceso de creación de una política de denegación, obtenga el seudónimo del usuario consultando el almacén de identidades. APIs

Implementación de la política de denegación

Puede utilizar un seudónimo que no sea válido, por ejemploAdd user ID here, para implementar la política de denegación por adelantado mediante una política de control de servicios (SCP) que adjunte a Cuentas de AWS los usuarios a la que puedan tener acceso. Este es el enfoque recomendado por su facilidad y velocidad de impacto. Cuando revoque el acceso de un usuario con la política de denegación, editará la política para reemplazar el marcador de posición de ID de usuario por el ID de la persona cuyo acceso deseas revocar. Esto impide que el usuario realice ninguna acción con los permisos establecidos en todas las cuentas a las SCP que asocie. Bloquea las acciones del usuario incluso si utiliza su sesión activa en el portal de acceso AWS para navegar a diferentes cuentas y asumir funciones diferentes. Con el acceso del usuario totalmente bloqueado por elSCP, puedes deshabilitar su capacidad de iniciar sesión, revocar sus asignaciones y detener su sesión en el portal de AWS acceso si es necesario.

Como alternativa al usoSCPs, también puedes incluir la política de denegación en la política integrada de conjuntos de permisos y en las políticas gestionadas por los clientes que utilizan los conjuntos de permisos a los que el usuario puede acceder.

Si debe revocar el acceso a más de una persona, puede utilizar una lista de valores en el bloque de condiciones, como:


            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }
importante

Independientemente del método o los métodos que utilice, debe tomar cualquier otra medida correctiva y mantener el ID del usuario en la política durante al menos 12 horas. Transcurrido ese tiempo, todas las funciones que el usuario haya asumido caducarán y, a continuación, podrá eliminar su ID de la política de denegación.