Menggunakan kebijakan Tolak untuk mencabut izin pengguna aktif - AWS IAM Identity Center
Bersiaplah untuk mencabut sesi IAM peran aktif yang dibuat oleh set izin

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan Tolak untuk mencabut izin pengguna aktif

Anda mungkin perlu mencabut akses pengguna Pusat IAM Identitas Akun AWS saat pengguna secara aktif menggunakan set izin. Anda dapat menghapus kemampuan mereka untuk menggunakan sesi IAM peran aktif mereka dengan menerapkan kebijakan Tolak untuk pengguna yang tidak ditentukan sebelumnya, kemudian bila diperlukan, Anda dapat memperbarui kebijakan Tolak untuk menentukan pengguna yang aksesnya ingin Anda blokir. Topik ini menjelaskan cara membuat kebijakan Tolak dan pertimbangan tentang cara menerapkan kebijakan.

Bersiaplah untuk mencabut sesi IAM peran aktif yang dibuat oleh set izin

Anda dapat mencegah pengguna mengambil tindakan dengan IAM peran yang mereka gunakan secara aktif dengan menerapkan kebijakan tolak semua untuk pengguna tertentu melalui penggunaan Kebijakan Kontrol Layanan Anda juga dapat mencegah pengguna menggunakan set izin apa pun hingga Anda mengubah kata sandi mereka, yang menghapus aktor jahat yang secara aktif menyalahgunakan kredensi curian. Jika Anda perlu menolak akses secara luas dan mencegah pengguna memasukkan kembali set izin atau mengakses set izin lainnya, Anda juga dapat menghapus semua akses pengguna, menghentikan sesi portal AWS akses aktif, dan menonaktifkan login pengguna. Lihat Cabut sesi IAM peran aktif yang dibuat oleh set izin untuk mempelajari cara menggunakan kebijakan Tolak bersama dengan tindakan tambahan untuk pencabutan akses yang lebih luas.

Tolak kebijakan

Anda dapat menggunakan kebijakan Tolak dengan kondisi yang cocok dengan pengguna UserID dari penyimpanan IAM identitas Pusat Identitas untuk mencegah tindakan lebih lanjut dengan IAM peran yang digunakan pengguna secara aktif. Menggunakan kebijakan ini menghindari dampak bagi pengguna lain yang mungkin menggunakan set izin yang sama saat Anda menerapkan kebijakan Tolak. Kebijakan ini menggunakan ID pengguna placeholder, Tambahkan ID pengguna di sini, untuk "identitystore:userId" itu Anda akan memperbarui dengan ID pengguna yang ingin Anda cabut aksesnya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}

Meskipun Anda dapat menggunakan kunci kondisi lain seperti“aws:userId”, pasti karena itu “identitystore:userId” adalah nilai unik global yang dikaitkan dengan satu orang. Penggunaan “aws:userId” dalam kondisi dapat dipengaruhi oleh bagaimana atribut pengguna disinkronkan dari sumber identitas Anda dan dapat berubah jika nama pengguna atau alamat email berubah.

Dari konsol Pusat IAM Identitas, Anda dapat menemukan pengguna identitystore:userId dengan menavigasi ke Pengguna, mencari pengguna berdasarkan nama, memperluas bagian Informasi umum dan menyalin ID Pengguna. Juga nyaman untuk menghentikan sesi portal AWS akses pengguna dan menonaktifkan akses masuk mereka di bagian yang sama saat mencari ID Pengguna. Anda dapat mengotomatiskan proses untuk membuat kebijakan Tolak dengan mendapatkan ID Pengguna pengguna melalui kueri penyimpanan identitas. APIs

Menerapkan kebijakan penolakan

Anda dapat menggunakan ID pengguna placeholder yang tidak valid, sepertiAdd user ID here, untuk menerapkan kebijakan Tolak terlebih dahulu menggunakan Kebijakan Kontrol Layanan (SCP) yang Anda lampirkan ke Akun AWS pengguna mungkin memiliki akses ke. Ini adalah pendekatan yang direkomendasikan untuk kemudahan dan kecepatan dampaknya. Saat mencabut akses pengguna dengan kebijakan Tolak, Anda akan mengedit kebijakan untuk mengganti ID pengguna placeholder dengan ID pengguna orang yang aksesnya ingin dicabut. Ini mencegah pengguna mengambil tindakan apa pun dengan izin apa pun yang ditetapkan di setiap akun yang Anda lampirkanSCP. Ini memblokir tindakan pengguna bahkan jika mereka menggunakan sesi portal AWS akses aktif mereka untuk menavigasi ke akun yang berbeda dan mengambil peran yang berbeda. Dengan akses pengguna sepenuhnya diblokir olehSCP, Anda kemudian dapat menonaktifkan kemampuan mereka untuk masuk, mencabut tugas mereka, dan menghentikan sesi portal AWS akses mereka jika diperlukan.

Sebagai alternatif untuk menggunakanSCPs, Anda juga dapat menyertakan kebijakan Tolak dalam kebijakan sebaris set izin dan dalam kebijakan terkelola pelanggan yang digunakan oleh set izin yang dapat diakses pengguna.

Jika Anda harus mencabut akses untuk lebih dari satu orang, Anda dapat menggunakan daftar nilai di blok kondisi, seperti:


            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }
penting

Terlepas dari metode yang Anda gunakan, Anda harus mengambil tindakan korektif lainnya dan menyimpan ID pengguna dalam kebijakan setidaknya selama 12 jam. Setelah itu, peran apa pun yang diasumsikan pengguna akan kedaluwarsa dan Anda kemudian dapat menghapus ID pengguna mereka dari kebijakan Tolak.