Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Désactivation des autorisations affectées aux informations d'identification de sécurité temporaires
Les informations d'identification de sécurité temporaires sont valides jusqu'à la fin de leur délai d'expiration. Ces informations d'identification sont valides pendant la durée spécifiée, de 900 secondes (15 minutes) à un maximum de 129 600 secondes (36 heures). La durée de session par défaut est de 43 200 secondes (12 heures). Vous pouvez révoquer ces informations d'identification, mais vous devez également modifier les autorisations accordées à l'IAMutilisateur ou au rôle afin de mettre fin à l'utilisation d'informations d'identification compromises pour des activités malveillantes sur le compte. Les autorisations attribuées aux informations d'identification de sécurité temporaires sont évaluées chaque fois qu'elles sont utilisées pour faire une AWS demande. Une fois que vous avez supprimé toutes les autorisations des informations d'identification, les AWS demandes qui les utilisent échouent.
Les mises à jour des politiques peuvent prendre quelques minutes pour être mises en vigueur. Pour les sessions de IAM rôle, vous pouvez révoquer les informations d'identification de sécurité temporaires du rôle pour obliger tous les utilisateurs assumant le rôle à s'authentifier à nouveau et à demander de nouvelles informations d'identification. Pour plus d'informations, voir Révoquer les informations d'identification de sécurité temporaires du rôle.
Vous ne pouvez pas modifier les autorisations pour un Utilisateur racine d'un compte AWS. De même, vous ne pouvez pas modifier les autorisations des informations d'identification de sécurité temporaires créées en appelant GetFederationToken ou GetSessionToken lorsque vous êtes connecté comme utilisateur racine. C'est pour cette raison que nous vous recommandons de ne pas appeler GetFederationToken ou GetSessionToken en tant qu'utilisateur racine.
Pour les procédures relatives à la modification des autorisations d'un IAM utilisateur, consultezModifier les autorisations d'un IAM utilisateur.
Pour connaître les procédures de modification des autorisations associées à un IAM rôle, consultezMettre à jour les autorisations pour un rôle.
Important
Vous ne pouvez pas modifier les rôles IAM qui ont été créés à partir des ensembles d'autorisations IAM Identity Center. Vous devez révoquer la session d'ensemble d'autorisations active pour un utilisateur dans IAM Identity Center. Pour plus d'informations, consultez la section Révoquer les sessions de IAM rôle actives créées par des ensembles d'autorisations dans le guide de l'utilisateur d'IAMIdentity Center.
Rubriques
- Refuser l'accès à toutes les sessions de IAM rôle associées à un rôle
- Refuser l'accès à une session de IAM rôle spécifique
- Refuser l'accès aux sessions d'informations d'identification de sécurité temporaires avec des clés contextuelles de condition
- Refuser l'accès à un principal spécifique avec des politiques basées sur les ressources
Refuser l'accès à toutes les sessions de IAM rôle associées à un rôle
Cette procédure refuse les autorisations à toutes les sessions de IAM rôle associées à un rôle. Utilisez cette méthode lorsque vous craignez un accès suspect des :
-
Principaux d'un autre compte utilisant l'accès intercompte
-
Identités des utilisateurs externes autorisés à accéder aux AWS ressources de votre compte
-
Utilisateurs authentifiés dans une application mobile ou Web auprès d'un fournisseur OIDC
Pour modifier ou supprimer les autorisations attribuées aux informations d'identification de sécurité temporaires obtenues en appelant AssumeRoleAssumeRoleWithSAML, ouAssumeRoleWithWebIdentity, ou GetFederationTokenGetSessionToken, vous pouvez modifier ou supprimer la politique basée sur l'identité qui définit les autorisations pour le rôle.
Important
S'il existe une politique basée sur les ressources qui autorise l'accès au principal, vous devez également ajouter un refus explicite pour cette ressource. Consultez Refuser l'accès à un principal spécifique avec des politiques basées sur les ressources pour plus de détails.
Pour refuser l'accès à toutes les sessions de IAM rôle associées à un rôle
-
Connectez-vous à la IAM console AWS Management Console et ouvrez-la.
-
Dans le volet de navigation, sélectionnez Rôles.
-
Choisissez le nom du rôle à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste.
-
Choisissez l’onglet Permissions (Autorisations).
-
Sélectionnez la politique appropriée à modifier. Avant de modifier une politique gérée par le client, consultez l'onglet Entités jointes pour éviter de perturber l'accès à d'autres identités auxquelles la même politique est associée.
-
Choisissez l'JSONonglet et mettez à jour la politique pour refuser toutes les ressources et actions.
Note
Ces autorisations sont les mêmes que celles de la politique AWS gérée AWSDenyAll. Vous pouvez associer cette politique AWS gérée à n'importe quel IAM utilisateur ou rôle auquel vous souhaitez refuser tout accès.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAll", "Effect": "Deny", "Action": [ "*" ], "Resource": "*" } ] } -
Sur la page Vérification, vérifiez le Récapitulatif de la politique, puis choisissez Enregistrer les modifications pour enregistrer votre travail.
Lorsque vous mettez à jour la politique, les modifications affectent les autorisations de toutes les informations d'identification de sécurité temporaires associées au rôle, y compris les informations d'identification émises avant que vous apportiez des changements à la politique d'autorisations du rôle.
Après avoir mis à jour la politique, vous pouvez révoquer les informations d'identification de sécurité temporaires du rôle pour révoquer immédiatement toutes les autorisations relatives aux informations d'identification émises pour le rôle.
Refuser l'accès à une session de IAM rôle spécifique
Lorsque vous mettez à jour IAM des rôles avec une politique de refus total ou que vous supprimez complètement le rôle, tous les utilisateurs ayant accès au rôle sont interrompus. Vous pouvez refuser l'accès sans affecter les autorisations de toutes les autres sessions associées au rôle.
Le Principal peut se voir refuser des autorisations à l'aide des clés de contexte de condition ou des politiques basées sur les ressources.
Astuce
Vous pouvez trouver les utilisateurs ARNs fédérés à l'aide AWS CloudTrail des journaux. Pour plus d'informations, consultez Comment identifier facilement vos utilisateurs fédérés à l'aide AWS CloudTrail
Refuser l'accès aux sessions d'informations d'identification de sécurité temporaires avec des clés contextuelles de condition
Vous pouvez utiliser des clés contextuelles conditionnelles dans les politiques basées sur l'identité lorsque vous souhaitez refuser l'accès à des sessions d'identification de sécurité temporaires spécifiques sans affecter les autorisations de l'IAMutilisateur ou du rôle qui a créé les informations d'identification. Pour les IAM rôles, après avoir mis à jour la politique, vous pouvez également révoquer les sessions d'identification de sécurité temporaires du rôle afin de révoquer immédiatement toutes les informations d'identification émises.
Pour plus d'informations sur les clés de contexte de condition, veuillez consulter la rubrique AWS clés contextuelles de condition globale.
lois : PrincipalArn
Vous pouvez utiliser la clé de contexte de condition lois : PrincipalArn dans une politique basée sur l'identité pour refuser l'accès à un principal spécifique en utilisant son Amazon Resource Name ()ARN. Pour ce faire, spécifiez ARN l'IAMutilisateur, le rôle ou la session utilisateur AWS STS fédérée auxquels les informations d'identification de sécurité temporaires sont associées dans l'élément Condition d'une politique.
Pour refuser l'accès à un mandant spécifique par leur ARN
-
Dans le volet de navigation de la IAM console, sélectionnez Utilisateurs ou Rôles.
-
Choisissez le nom de l'IAMutilisateur ou du rôle à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste.
-
Choisissez l’onglet Permissions (Autorisations).
-
Sélectionnez la politique appropriée à modifier. Avant de modifier une politique gérée par le client, consultez l'onglet Entités jointes pour éviter de perturber l'accès à d'autres identités auxquelles la même politique est associée.
-
Choisissez l'JSONonglet et ajoutez une déclaration de refus pour le principalARN, comme indiqué dans l'exemple suivant.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "ArnEquals": { "aws:PrincipalArn": [ "arn:aws:iam::222222222222:role/ROLENAME", "arn:aws:iam::222222222222:user/USERNAME", "arn:aws:iam::222222222222:federated-user/USERNAME" ] } } } ] } -
Sur la page Vérification, vérifiez le Récapitulatif de la politique, puis choisissez Enregistrer les modifications pour enregistrer votre travail.
lois : SourceIdentity
Vous pouvez utiliser la clé de contexte de condition lois : SourceIdentity dans une politique basée sur l'identité pour refuser l'accès à une identité source spécifique associée à une session de IAM rôle. Cela s'applique tant que la session de rôle a été émise en définissant le paramètre de SourceIdentity demande lorsque le principal a assumé un rôle à l'aide de AWS STS assume-role CLI commandes* ou d'APIopérations AWS STS AssumeRole *. Pour ce faire, spécifiez l'identité source à laquelle les informations d'identification de sécurité temporaires sont associées dans l'Conditionélément d'une politique.
Contrairement à la clé contextuelle sts:RoleSessionName, une fois l'identité de la source définie, la valeur ne peut pas être modifiée. La aws:SourceIdentity clé est présente dans le contexte de la demande pour toutes les actions entreprises par le rôle. L'identité source est conservée dans les sessions de rôle suivantes lorsque vous utilisez les informations d'identification de session pour assumer un autre rôle. Le fait d'endosser un rôle à partir d'un autre est appelé chaînage des rôles.
La politique suivante montre un exemple de la manière dont vous pouvez refuser l'accès à des sessions d'informations d'identification de sécurité temporaires à l'aide d'une clé de contexte de condition aws:SourceIdentity. Si vous spécifiez l'identité source associée à une session de rôle, les sessions de rôle avec l'identité source nommée seront refusées sans affecter les autorisations du rôle qui a créé les informations d'identification. Dans cet exemple, l'identité source définie par le principal lors de l'émission de la session de rôle estnikki_wolf@example.com. Toute demande effectuée par une session de rôle avec l'identité source nikki_wolf@example.com sera refusée car l'identité source est incluse dans la condition de politique et l'effet de stratégie est défini surDeny.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:SourceIdentity": [ "nikki_wolf@example.com", "<source identity value>" ] } } } ] }
aws:userid
Vous pouvez utiliser la clé de contexte de condition aws:userid dans une politique basée sur l'identité pour refuser l'accès à toutes les sessions d'identification de sécurité temporaires ou à certaines sessions spécifiques associées à l'IAMutilisateur ou au rôle. Pour ce faire, spécifiez l'identifiant unique (ID) de l'IAMutilisateur, du rôle ou de la session utilisateur AWS STS fédérée auxquels les informations d'identification de sécurité temporaires sont associées dans l'Conditionélément d'une politique.
La politique suivante montre un exemple de la manière dont vous pouvez refuser l'accès à des sessions d'informations d'identification de sécurité temporaires à l'aide d'une clé de contexte de condition aws:userid.
-
AIDAXUSER1représente l'identifiant unique d'un IAM utilisateur. Le fait de spécifier l'ID unique IAM d'un utilisateur comme valeur de clé de contexteaws:useridrefusera l'accès à l'IAMutilisateur. Cela inclut toutes les sessions d'identification de sécurité temporaires créées en appelant leGetSessionTokenAPI. -
AROAXROLE1:*représente l'identifiant unique de toutes les sessions associées au IAM rôle. La spécification de l'identifiant unique d'un IAM rôle et d'un caractère générique (*) dans la partie caller-specified-role-session -name comme valeur de la clé de contexteaws:useridempêchera toutes les sessions associées au rôle. -
AROAXROLE2:<caller-specified-role-session-name>représente l'identifiant unique d'une session à rôle assumé. Dans la partie caller-specified-role-session -name de l'ID unique du rôle assumé, vous pouvez spécifier un rôle, un nom de session ou un caractère générique si l' StringLike opérateur de condition est utilisé. Si vous spécifiez le nom de la session de rôle, cela refusera la session de rôle nommée sans affecter les autorisations du rôle qui a créé les informations d'identification. Si vous spécifiez un caractère générique pour le nom de session du rôle, toutes les sessions associées au rôle seront refusées.Note
Le nom de session de rôle spécifié par l'appelant, qui fait partie de l'identifiant unique d'une session à rôle assumé, peut changer pendant le chaînage des rôles. Le chaînage des rôles se produit lorsqu'un rôle assume un autre rôle. Le nom de session du rôle est défini à l'aide du paramètre de
RoleSessionNamedemande lorsque le principal assume un rôle à l'aide de l' AWS STSAssumeRoleAPIopération. -
account-id:<federated-user-caller-specified-name>représente l'ID unique d'une session utilisateur AWS STS fédérée. Un IAM utilisateur crée cette session en appelant leGetFederationTokenAPI. La spécification de l'ID unique pour une session utilisateur AWS STS fédérée refuse la session utilisateur fédérée nommée sans affecter les autorisations de l'IAMutilisateur qui a créé les informations d'identification.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:userId": [ "AIDAXUSER1", "AROAXROLE1:*", "AROAXROLE2:<caller-specified-role-session-name>", "account-id:<federated-user-caller-specified-name>" ] } } } ] }
Pour des exemples spécifiques de valeurs de clé de principal, veuillez consulter la rubrique Valeurs de la clé du principal. Pour plus d'informations sur les identifiants IAM uniques et sur la façon de les obtenir, consultezIdentifiants uniques.
Refuser l'accès à un principal spécifique avec des politiques basées sur les ressources
Pour restreindre l'accès à un principal spécifique à l'aide d'une politique basée sur les ressources, vous pouvez utiliser des clés contextuelles de condition lois : PrincipalArn ou lois : SourceIdentity dans l'Conditionélément. Une politique basée sur les ressources est une politique d'autorisation attachée à une ressource et qui contrôle les personnes autorisées à accéder à la ressource et les actions qu'ils peuvent effectuer sur celle-ci.
Lorsque vous utilisez la clé de aws:PrincipalARN contexte, spécifiez ARN l'IAMutilisateur, le rôle ou la session utilisateur AWS STS fédérée associés aux informations d'identification de sécurité temporaires dans l'élément Condition d'une politique. L'exemple de stratégie suivant montre comment utiliser la clé de aws:PrincipalARN contexte dans une stratégie basée sur les ressources :
{ "Version": "2012-10-17", "Statement": { "Principal": [ "*" ], "Effect": "Deny", "Action": "s3:*", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "ArnEquals": { "aws:PrincipalArn": [ "arn:aws:iam::222222222222:role/ROLENAME", "arn:aws:iam::222222222222:user/USERNAME", "arn:aws:sts::222222222222:federated-user/USERNAME" ] } } } }
Lorsque vous utilisez la clé de aws:SourceIdentity contexte, spécifiez la valeur d'identité source associée aux informations de sécurité temporaires du rôle dans l'Conditionélément d'une politique. Cela s'applique tant que la session de rôle a été émise en définissant le paramètre de SourceIdentity demande lorsque le principal a assumé un rôle à l'aide de AWS STS assume-role CLI commandes* ou d'APIopérations AWS STS AssumeRole *. L'exemple suivant montre comment utiliser la clé de aws:SourceIdentity contexte dans une politique basée sur les ressources :
{ "Version": "2012-10-17", "Statement": { "Principal": [ "*" ], "Effect": "Deny", "Action": "s3:*", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringLike": { "aws:SourceIdentity": [ "nikki_wolf@example.com", "<source identity value>" ] } } } }
Si vous ne mettez à jour la stratégie basée sur l'identité que pour un mandant, celui-ci peut toujours effectuer les actions autorisées dans la stratégie basée sur les ressources, sauf lorsque ces actions sont explicitement refusées dans la stratégie basée sur l'identité.
Pour refuser l'accès à un principal spécifique dans le cadre d'une politique basée sur les ressources
-
Reportez-vous à la rubrique AWS des services qui fonctionnent avec IAM pour voir si le service prend en charge les politiques basées sur les ressources.
-
Connectez-vous à la console du service AWS Management Console et ouvrez-la. Chaque service dispose d'un emplacement différent dans la console pour associer des politiques.
-
Modifiez la politique basée sur les ressources. Ajoutez une déclaration de politique de refus pour spécifier les informations d'identification de l'identifiant :
-
Dans l'
Principalélément, entrez un caractère générique (*). Le principal sera restreint dans l'Conditionélément. -
Dans l'
Effectélément, entrez « Refuser ». -
Dans
Action, saisissez l'espace de noms du service et le nom de l'action à refuser. Pour refuser toutes les actions, utilisez le caractère générique (*). olpPar exemple :"s3:*". -
Dans l'
Resourceélément, entrez le nom ARN de la ressource cible. olpPar exemple :"arn:aws:s3:::amzn-s3-demo-bucket". -
Dans l'
Conditionélément, spécifiez soit la clé deaws:SourceIdentitycontexte,aws:PrincipalARNsoit la clé contextuelle.Si vous utilisez la clé
aws:PrincipalARNcontextuelle, entrez le code ARN du principal pour lequel vous souhaitez refuser l'accès.Si vous utilisez la clé de
aws:SourceIdentitycontexte, entrez la valeur d'identité source définie dans la session de rôle pour laquelle vous souhaitez refuser l'accès.
-
-
Enregistrez votre travail.
