Désactivation des autorisations affectées aux informations d'identification de sécurité temporaires - AWS Identity and Access Management
Refuser l'accès à toutes les sessions associées à un rôleRefuser l'accès à une session spécifiqueRefuser une session d'utilisateur à l'aide de clés de contexte de conditionRefuser un utilisateur de session avec des politiques basées sur les ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Désactivation des autorisations affectées aux informations d'identification de sécurité temporaires

Les informations d'identification de sécurité temporaires sont valides jusqu'à la fin de leur délai d'expiration. Ces informations d'identification sont valides pendant la durée spécifiée, de 900 secondes (15 minutes) à un maximum de 129 600 secondes (36 heures). La durée de session par défaut est de 43 200 secondes (12 heures). Vous pouvez révoquer ces informations d'identification, mais vous devez également modifier les autorisations associées au rôle afin de mettre fin à l'utilisation d'informations d'identification compromises pour des activités malveillantes sur le compte. Les autorisations attribuées aux informations d'identification de sécurité temporaires sont évaluées chaque fois qu'elles sont utilisées pour faire une AWS demande. Une fois que vous avez supprimé toutes les autorisations des informations d'identification, les AWS demandes qui les utilisent échouent.

Les mises à jour des politiques peuvent prendre quelques minutes pour être mises en vigueur. Révoquer les informations d'identification de sécurité temporaires du rôle pour obliger tous les utilisateurs endossant ce rôle à s'authentifier à nouveau et à demander de nouvelles informations d'identification.

Vous ne pouvez pas modifier les autorisations pour un Utilisateur racine d'un compte AWS. De même, vous ne pouvez pas modifier les autorisations des informations d'identification de sécurité temporaires créées en appelant GetFederationToken ou GetSessionToken lorsque vous êtes connecté comme utilisateur racine. C'est pour cette raison que nous vous recommandons de ne pas appeler GetFederationToken ou GetSessionToken en tant qu'utilisateur racine.

Important

Vous ne pouvez pas modifier les rôles dans IAM qui ont été créés à partir des ensembles d'autorisations IAM Identity Center. Vous devez révoquer la session d'ensemble d'autorisations active pour un utilisateur dans IAM Identity Center. Pour plus d'informations, voir Révoquer les sessions de rôle IAM actives créées par des ensembles d'autorisations dans le guide de l'utilisateur d'IAM Identity Center.

Refuser l'accès à toutes les sessions associées à un rôle

Utilisez cette méthode lorsque vous craignez un accès suspect des :

  • Principaux d'un autre compte utilisant l'accès intercompte

  • Identités des utilisateurs externes autorisés à accéder aux AWS ressources de votre compte

  • Utilisateurs authentifiés dans une application mobile ou Web auprès d'un fournisseur OIDC

Cette procédure refuse les autorisations pour tous utilisateurs autorisés à endosser un rôle.

Pour modifier ou supprimer les autorisations affectées aux informations d'identification de sécurité temporaires obtenues en appelant AssumeRole, AssumeRoleWithSAML, AssumeRoleWithWebIdentity, GetFederationToken ou GetSessionToken, vous pouvez modifier ou supprimer la politique d'autorisations qui définit les autorisations du rôle.

Important

S'il existe une politique basée sur les ressources qui autorise l'accès au principal, vous devez également ajouter un refus explicite pour cette ressource. Consultez Refuser un utilisateur de session avec des politiques basées sur les ressources pour plus de détails.

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la.

  2. Dans le panneau de navigation, choisissez le nom du rôle à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste.

  3. Sélectionnez la politique concernée.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Choisissez l'onglet JSON et mettez à jour la politique pour refuser toutes les ressources et actions.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*"
    }
  ]
}

  6. Sur la page Vérification, vérifiez le Récapitulatif de la politique, puis choisissez Enregistrer les modifications pour enregistrer votre travail.

Lorsque vous mettez à jour la politique, les modifications affectent les autorisations de toutes les informations d'identification de sécurité temporaires associées au rôle, y compris les informations d'identification émises avant que vous apportiez des changements à la politique d'autorisations du rôle. Après avoir mis à jour la politique, vous pouvez révoquer les informations d'identification de sécurité temporaires du rôle pour révoquer immédiatement toutes les autorisations relatives aux informations d'identification émises pour le rôle.

Refuser l'accès à une session spécifique

Lorsque vous mettez à jour les rôles qui peuvent être endossés par un IdP à l'aide d'une politique de refus ou que vous supprimez complètement le rôle, tous les utilisateurs ayant accès au rôle sont perturbés. Vous pouvez refuser l'accès en fonction de l'élément Principal sans affecter les autorisations de toutes les autres sessions associées au rôle.

Le Principal peut se voir refuser des autorisations à l'aide des clés de contexte de condition ou des politiques basées sur les ressources.

Astuce

Vous pouvez trouver les ARN des utilisateurs fédérés à l'aide AWS CloudTrail des journaux. Pour plus d'informations, consultez Comment identifier facilement vos utilisateurs fédérés à l'aide AWS CloudTrail de.

Refuser une session d'utilisateur à l'aide de clés de contexte de condition

Vous pouvez utiliser des clés de contexte de condition lorsque vous souhaitez refuser l'accès aux informations d'identification de sécurité temporaires sans affecter les autorisations de l'utilisateur ou du rôle IAM ayant créé les informations d'identification.

Pour plus d'informations sur les clés de contexte de condition, veuillez consulter la rubrique AWS clés contextuelles de condition globale.

Note

S'il existe une politique basée sur les ressources qui autorise l'accès au principal, vous devez également ajouter une instruction de refus explicite sur la politique basée sur les ressources après ces étapes.

Après avoir mis à jour la politique, vous pouvez révoquer les informations d'identification de sécurité temporaires du rôle pour révoquer immédiatement toutes les informations d'identification émises.

lois : PrincipalArn

Vous pouvez utiliser la clé de contexte de condition lois : PrincipalArn pour refuser l'accès à un ARN principal spécifique. Pour ce faire, vous devez spécifier l'identifiant unique (ID) de l'utilisateur, du rôle ou de l'utilisateur fédéré IAM auxquels les informations d'identification de sécurité temporaires sont associées dans l'élément Condition d'une politique.

  1. Dans le panneau de navigation de la console IAM, choisissez le nom du rôle à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste.

  2. Sélectionnez la politique concernée.

  3. Choisissez l’onglet Permissions (Autorisations).

  4. Choisissez l'onglet JSON et ajoutez une instruction de refus pour l'ARN principal, comme indiqué dans l'exemple suivant.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "ArnEquals": {
          "aws:PrincipalArn": [
            "arn:aws:iam::222222222222:role/ROLENAME",
            "arn:aws:iam::222222222222:user/USERNAME",
            "arn:aws:sts::222222222222:federated-user/USERNAME" 
          ]
        }
      }
    }
  ]
}

  5. Sur la page Vérification, vérifiez le Récapitulatif de la politique, puis choisissez Enregistrer les modifications pour enregistrer votre travail.

aws:userid

Vous pouvez utiliser la clé de contexte de condition aws:userid pour refuser l'accès à toutes les sessions d'informations d'identification de sécurité temporaires ou à certaines d'entre elles associées à l'utilisateur ou au rôle IAM. Pour ce faire, vous devez spécifier l'identifiant unique (ID) de l'utilisateur, du rôle ou de l'utilisateur fédéré IAM auxquels les informations d'identification de sécurité temporaires sont associées dans l'élément Condition d'une politique.

La politique suivante montre un exemple de la manière dont vous pouvez refuser l'accès à des sessions d'informations d'identification de sécurité temporaires à l'aide d'une clé de contexte de condition aws:userid.

  • AIDAXUSER1 représente l'identifiant unique d'un utilisateur IAM. En spécifiant l'identifiant unique d'un utilisateur IAM en tant que valeur de la clé de contexte aws:userid, vous refuserez toutes les sessions associées à l'utilisateur IAM.

  • AROAXROLE1 représente l'identifiant unique d'un rôle IAM. En spécifiant l'identifiant unique d'un rôle IAM en tant que valeur de la clé de contexte aws:userid, vous refuserez toutes les sessions associées au rôle.

  • AROAXROLE2 représente l'identifiant unique d'une session de rôle endossé. Dans la partie caller-specified-role-session -name de l'identifiant unique du rôle assumé, vous pouvez spécifier un rôle, un nom de session ou un caractère générique si l' StringLikeopérateur de condition est utilisé. Si vous spécifiez le nom de la session de rôle, cela refusera la session de rôle nommée sans affecter les autorisations du rôle qui a créé les informations d'identification. Si vous spécifiez un caractère générique pour le nom de session du rôle, toutes les sessions associées au rôle seront refusées.

  • account-id:<federated-user-caller-specified-name> représente l'identifiant unique d'une session d'utilisateur fédéré. Un utilisateur fédéré est créé par un utilisateur IAM qui appelle l' GetFederationToken API. Si vous spécifiez l'identifiant unique d'un utilisateur fédéré, cela refusera la session d'utilisateur fédéré nommée sans affecter les autorisations du rôle qui a créé les informations d'identification.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:userId": [
            "AIDAXUSER1",
            "AROAXROLE1",
            "AROAXROLE2:<caller-specified-role-session-name>",
            "account-id:<federated-user-caller-specified-name>"
          ]
        }
      }
    }
  ]
}

Pour des exemples spécifiques de valeurs de clé de principal, veuillez consulter la rubrique Valeurs de la clé du principal. Pour plus d'informations sur les identifiants uniques IAM, veuillez consulter la rubrique Identifiants uniques.

Refuser un utilisateur de session avec des politiques basées sur les ressources

Si l'ARN principal est également inclus dans des politiques basées sur les ressources, vous devez également révoquer l'accès en fonction des valeurs principalId ou sourceIdentity de l'utilisateur spécifique dans l'élément Principal d'une politique basée sur les ressources. Si vous mettez uniquement à jour la politique d'autorisations pour le rôle, l'utilisateur peut toujours effectuer les actions autorisées dans la politique basée sur les ressources.

  1. Reportez-vous à la rubrique AWS services qui fonctionnent avec IAM pour voir si le service prend en charge les politiques basées sur les ressources.

  2. Connectez-vous à la console du service AWS Management Console et ouvrez-la. Chaque service dispose d'un emplacement différent dans la console pour associer des politiques.

  3. Modifiez l'instruction de politique pour spécifier les informations d'identification de l'identifiant :

    1. Dans Principal, saisissez l'ARN de l'information d'identification à refuser.

    2. Dans Effect, saisissez « Deny. » (Refuser).

    3. Dans Action, saisissez l'espace de noms du service et le nom de l'action à refuser. Pour refuser toutes les actions, utilisez le caractère générique (*). Par exemple : « s3:*. ».

    4. Dans Resource, saisissez l'ARN de la ressource cible. Par exemple : « arn:aws:s3:::EXAMPLE-BUCKET. ».

    {
"Version": "2012-10-17",
  "Statement": {
    "Principal": [
            "arn:aws:iam::222222222222:role/ROLENAME",
            "arn:aws:iam::222222222222:user/USERNAME",
            "arn:aws:sts::222222222222:federated-user/USERNAME" 
    ],
    "Effect": "Deny",
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::EXAMPLE-BUCKET"
  }
}

  4. Enregistrez votre travail.