Révoquer les sessions de IAM rôle actives créées par des ensembles d'autorisations - AWS IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Révoquer les sessions de IAM rôle actives créées par des ensembles d'autorisations

La procédure générale suivante permet de révoquer une session d'ensemble d'autorisations active pour un utilisateur d'IAMIdentity Center. La procédure part du principe que vous souhaitez supprimer tout accès à un utilisateur dont les informations d'identification ont été compromises ou à un acteur malveillant présent dans le système. La condition préalable est d'avoir suivi les directives enPréparez-vous à révoquer une session de IAM rôle active créée par un ensemble d'autorisations. Nous supposons que la politique de refus de tout est présente dans une politique de contrôle des services (SCP).

Note

AWS vous recommande de créer une automatisation pour gérer toutes les étapes, à l'exception des opérations relatives à la console uniquement.

  1. Obtenez le nom d'utilisateur de la personne dont vous devez révoquer l'accès. Vous pouvez utiliser le magasin d'identité APIs pour trouver l'utilisateur à l'aide de son nom d'utilisateur.

  2. Mettez à jour la politique de refus pour ajouter l'ID utilisateur de l'étape 1 dans votre politique de contrôle des services (SCP). Une fois cette étape terminée, l'utilisateur cible perd son accès et n'est plus en mesure d'effectuer des actions avec les rôles concernés par la politique.

  3. Supprimez tous les ensembles d'autorisations attribués à l'utilisateur. Si l'accès est attribué par le biais d'appartenances à des groupes, supprimez l'utilisateur de tous les groupes et de toutes les attributions directes d'ensembles d'autorisations. Cette étape empêche l'utilisateur d'assumer des IAM rôles supplémentaires. Si un utilisateur possède une session active sur le portail d' AWS accès et que vous le désactivez, il peut continuer à assumer de nouveaux rôles jusqu'à ce que vous supprimiez son accès.

  4. Si vous utilisez un fournisseur d'identité (IdP) ou Microsoft Active Directory comme source d'identité, désactivez l'utilisateur dans la source d'identité. La désactivation de l'utilisateur empêche la création de sessions supplémentaires sur le portail AWS d'accès. Utilisez la API documentation de votre IdP ou de Microsoft Active Directory pour savoir comment automatiser cette étape. Si vous utilisez le répertoire IAM Identity Center comme source d'identité, ne désactivez pas encore l'accès des utilisateurs. Vous allez désactiver l'accès des utilisateurs à l'étape 6.

  5. Dans la console IAM Identity Center, recherchez l'utilisateur et supprimez sa session active.

    1. Choisissez Utilisateurs.

    2. Choisissez l'utilisateur dont vous souhaitez supprimer la session active.

    3. Sur la page détaillée de l'utilisateur, choisissez l'onglet Sessions actives.

    4. Cochez les cases à côté des sessions que vous souhaitez supprimer et choisissez Supprimer la session.

    Cela garantit que la session du portail d' AWS accès de l'utilisateur s'arrête dans un délai d'environ 60 minutes. En savoir plus sur la durée des sessions.

  6. Dans la console IAM Identity Center, désactivez l'accès des utilisateurs.

    1. Choisissez Utilisateurs.

    2. Choisissez l'utilisateur dont vous souhaitez désactiver l'accès.

    3. Sur la page détaillée de l'utilisateur, développez Informations générales et cliquez sur le bouton Désactiver l'accès utilisateur pour empêcher toute nouvelle connexion de l'utilisateur.

  7. Laissez la politique de refus en place pendant au moins 12 heures. Dans le cas contraire, l'utilisateur disposant d'une session de IAM rôle active aura restauré les actions associées au IAM rôle. Si vous attendez 12 heures, les sessions actives expirent et l'utilisateur ne pourra plus accéder au IAM rôle.

Important

Si vous désactivez l'accès d'un utilisateur avant d'arrêter la session utilisateur (vous avez effectué l'étape 6 sans terminer l'étape 5), vous ne pouvez plus arrêter la session utilisateur via la console IAM Identity Center. Si vous désactivez par inadvertance l'accès utilisateur avant d'arrêter la session utilisateur, vous pouvez réactiver l'utilisateur, arrêter sa session, puis désactiver à nouveau son accès.

Vous pouvez désormais modifier les informations d'identification de l'utilisateur si son mot de passe a été compromis et rétablir ses attributions.