Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Revoca las sesiones de IAM roles activas creadas por conjuntos de permisos
El siguiente es un procedimiento general para revocar una sesión de conjunto de permisos activa para un usuario de IAM Identity Center. El procedimiento parte del supuesto de que se desea eliminar todos los accesos de un usuario cuyas credenciales estén comprometidas o de un usuario fraudulento que se encuentre en el sistema. El requisito previo es haber seguido las instrucciones que figuran en Prepárese para revocar una sesión de IAM rol activa creada por un conjunto de permisos. Suponemos que la política de denegación total está presente en una política de control de servicios (SCP).
nota
AWS recomienda desarrollar la automatización para gestionar todos los pasos, excepto las operaciones que solo se realizan en la consola.
-
Obtenga el ID de la persona cuyo acceso debe revocar. Puede usar el almacén de identidades APIs para buscar al usuario por su nombre de usuario.
-
Actualice la política de denegación para añadir el ID de usuario del paso 1 de su política de control de servicios (SCP). Tras completar este paso, el usuario objetivo pierde el acceso y no puede realizar acciones con ninguna de las funciones a las que afecte la política.
-
Elimine todas las asignaciones de conjuntos de permisos para el usuario. Si el acceso se asigna mediante la pertenencia a un grupo, elimine al usuario de todos los grupos y de todas las asignaciones directas de conjuntos de permisos. Este paso evita que el usuario asuma IAM funciones adicionales. Si un usuario tiene una sesión activa en el portal de AWS acceso y usted lo desactiva, podrá seguir asumiendo nuevos roles hasta que le quite el acceso.
-
Si usa un proveedor de identidades (IdP) o Microsoft Active Directory como fuente de identidad, deshabilite al usuario en la fuente de identidad. La desactivación del usuario impide la creación de sesiones adicionales en el portal de acceso AWS . Use su IdP o la API documentación de Microsoft Active Directory para obtener información sobre cómo automatizar este paso. Si utiliza el directorio del Centro de IAM identidades como fuente de identidad, no desactive todavía el acceso de los usuarios. Inhabilitará el acceso de usuarios en el paso 6.
-
En la consola de IAM Identity Center, busque al usuario y elimine su sesión activa.
-
Seleccione Usuarios.
-
Elija el usuario cuya sesión activa desea eliminar.
-
En la página de detalles del usuario, elija la pestaña Sesiones activas.
-
Seleccione las casillas de verificación situadas junto a las identidades que desea eliminar y elija Eliminar sesión.
Esto garantiza que la sesión del usuario en el portal de AWS acceso se detenga en aproximadamente 60 minutos. Obtenga información sobre la duración de la sesión.
-
-
En la consola de IAM Identity Center, deshabilite el acceso de los usuarios.
-
Seleccione Usuarios.
-
Seleccione el usuario cuyo acceso desea desactivar.
-
En la página de detalles del usuario, expanda Información general y pulse el botón Desactivar el acceso del usuario para evitar que el usuario vuelva a iniciar sesión.
-
-
Deje en vigor la política de denegación durante al menos 12 horas. De lo contrario, el usuario con una sesión de IAM rol activa habrá restablecido las acciones con el IAM rol. Si esperas 12 horas, las sesiones activas caducan y el usuario no podrá volver a acceder al IAM rol.
importante
Si deshabilita el acceso de un usuario antes de detener la sesión de usuario (completó el paso 6 sin completar el paso 5), ya no podrá detener la sesión de usuario a través de la consola de IAM Identity Center. Si inhabilita el acceso del usuario sin darse cuenta antes de detenerla, puede volver a habilitar al usuario, detener su sesión y, a continuación, volver a deshabilitar su acceso.
