Disabilitazione delle autorizzazioni per le credenziali di sicurezza temporanee - AWS Identity and Access Management
Negare l'accesso a tutte le sessioni associate a un ruoloNegare l'accesso a una sessione specificaNegare una sessione utente con le chiavi di contesto delle condizioniRifiutare un utente di sessione con policy basate sulle risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Disabilitazione delle autorizzazioni per le credenziali di sicurezza temporanee

Le credenziali di sicurezza provvisorie sono valide finché non scadono. Queste credenziali sono valide per la durata specificata, da 900 secondi (15 minuti) a un massimo di 129.600 secondi (36 ore). La durata predefinita della sessione è di 43.200 secondi (12 ore). Puoi revocare queste credenziali, ma devi anche modificare le autorizzazioni per il ruolo per bloccare l'uso di credenziali compromesse che consentirebbero attività dannose per l'account. Le autorizzazioni assegnate alle credenziali di sicurezza temporanee vengono valutate ogni volta che vengono utilizzate per creare un AWS richiesta. Dopo aver rimosso tutte le autorizzazioni dalle credenziali, AWS le richieste che le utilizzano hanno esito negativo.

Potrebbero essere necessari alcuni minuti prima che gli aggiornamenti delle politicy siano applicati. Revoca le credenziali di sicurezza temporanee del ruolo per obbligare tutti gli utenti che assumono il ruolo a riautenticarsi e richiedere nuove credenziali.

Non è possibile modificare le autorizzazioni per un Utente root dell'account AWS. Allo stesso modo, non è possibile modificare le autorizzazioni per le credenziali di sicurezza temporanee create chiamando GetFederationToken o GetSessionToken effettuando l'accesso come utente root. Per questo motivo, consigliamo di non effettuare la chiamata a GetFederationToken o GetSessionToken come utente root.

Importante

Non è possibile modificare i ruoli creati dai IAM set di autorizzazioni di IAM Identity Center. È necessario revocare la sessione attiva del set di autorizzazioni per un utente in IAM Identity Center. Per ulteriori informazioni, consulta Revoca le sessioni di IAM ruolo attive create dai set di autorizzazioni nella Guida per l'utente di IAMIdentity Center.

Negare l'accesso a tutte le sessioni associate a un ruolo

Usa questo approccio quando hai il dubbio che sia stato effettuato un accesso sospetto da:

  • Principali di un altro account utilizzando l'accesso multi-account

  • Identità utente esterne con autorizzazioni di accesso AWS risorse presenti nel tuo account

  • Utenti che sono stati autenticati in un'applicazione mobile o web con un provider OIDC

Questa procedura nega le autorizzazioni a tutti gli utenti che dispongono delle autorizzazioni per assumere un ruolo.

Per modificare o rimuovere le autorizzazioni assegnate alle credenziali di sicurezza provvisorie ottenute richiamando AssumeRoleAssumeRoleWithSAML, o AssumeRoleWithWebIdentityGetFederationToken o GetSessionToken, puoi modificare o eliminare la policy di autorizzazione che definisce le autorizzazioni per il ruolo.

Importante

Se esiste una policy basata sulle risorse che consente l'accesso principale, devi anche aggiungere un rifiuto esplicito per quella risorsa. Per informazioni dettagliate, vedi Rifiutare un utente di sessione con policy basate sulle risorse.

  1. Accedere al AWS Management Console e apri la IAM console.

  2. Nel riquadro di navigazione, seleziona il nome del ruolo da modificare. Puoi utilizzare la casella di ricerca per filtrare l'elenco.

  3. Seleziona la policy pertinente.

  4. Scegli la scheda Autorizzazioni.

  5. Scegli la JSONscheda e aggiorna la politica per negare tutte le risorse e le azioni.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*"
    }
  ]
}

  6. Nella pagina Review (Esamina) controllare Summary (Riepilogo) e selezionare Save changes (Salva modifiche) per salvare.

Quando si modifica o si elimina la policy, le modifiche riguardano le autorizzazioni di tutte le credenziali di sicurezza provvisorie associate a tale ruolo, tra cui credenziali che sono state rilasciate prima di aver modificato la policy di autorizzazione del ruolo. Dopo aver aggiornato la policy, è possibile revocare le credenziali di sicurezza temporanee del ruolo per revocare immediatamente tutte le autorizzazioni alle credenziali emesse per il ruolo.

Negare l'accesso a una sessione specifica

Quando aggiorni i ruoli assumibili da un IdP con una policy di negazione totale o elimini completamente il ruolo, tutti gli utenti che hanno accesso al ruolo vengono scollegati Puoi negare l'accesso in base all’elemento Principal senza influire sulle autorizzazioni di tutte le altre sessioni associate al ruolo.

Ai Principal possono essere negate le autorizzazioni usando chiavi di contesto delle condizioni o policy basate sulle risorse.

Suggerimento

Puoi trovare gli utenti ARNs federati utilizzando AWS CloudTrail registri. Per ulteriori informazioni, consulta Come identificare facilmente gli utenti federati utilizzando AWS CloudTrail.

Negare una sessione utente con le chiavi di contesto delle condizioni

È possibile utilizzare le chiavi di contesto delle condizioni in cui si desidera negare l'accesso a specifiche sessioni temporanee di credenziali di sicurezza senza influire sulle autorizzazioni dell'IAMutente o del ruolo che ha creato le credenziali.

Per ulteriori informazioni su queste chiavi di contesto della condizione, consulta AWS chiavi di contesto della condizione globale.

Nota

Se esiste una policy basata sulle risorse che consente l'accesso principale, devi anche aggiungere una istruzione di negazione esplicita sulla policy basata sulle risorse dopo aver completato questi passaggi.

Dopo aver aggiornato la policy, puoi revocare le credenziali di sicurezza temporanee del ruolo per revocare immediatamente tutte le credenziali emesse.

leggi: PrincipalArn

È possibile utilizzare la chiave di contesto della condizione Leggi: PrincipalArn per negare l'accesso a un principale ARN specifico. A tale scopo, è necessario specificare l'identificatore univoco (ID) dell'IAMutente, del ruolo o dell'utente federato a cui sono associate le credenziali di sicurezza temporanee nell'elemento Condition di una politica.

  1. Nel riquadro di navigazione della IAM console, scegli il nome del ruolo da modificare. Puoi utilizzare la casella di ricerca per filtrare l'elenco.

  2. Seleziona la policy pertinente.

  3. Scegli la scheda Autorizzazioni.

  4. Scegli la JSONscheda e aggiungi una dichiarazione di negazione per il principaleARN, come mostrato nell'esempio seguente.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "ArnEquals": {
          "aws:PrincipalArn": [
            "arn:aws:iam::222222222222:role/ROLENAME",
            "arn:aws:iam::222222222222:user/USERNAME",
            "arn:aws:iam::222222222222:federated-user/USERNAME" 
          ]
        }
      }
    }
  ]
}

  5. Nella pagina Review (Esamina) controllare Summary (Riepilogo) e selezionare Save changes (Salva modifiche) per salvare.

leggi: SourceIdentity

È possibile utilizzare la chiave di contesto della condizione Leggi: SourceIdentity per negare l'accesso a un'identità di origine specifica associata a una sessione di ruolo. Ciò vale a condizione che la sessione di ruolo sia stata emessa impostando il parametro di SourceIdentity richiesta quando il principale ha assunto un ruolo utilizzando uno AWS STS assume-role* CLI comandi, o AWS STS AssumeRole* API operazioni. A tale scopo, è necessario specificare l'identità di origine a cui sono associate le credenziali di sicurezza temporanee nell'Conditionelemento di una policy.

A differenza della chiave contestuale sts:RoleSessionName, dopo aver impostato l'identità di origine, il valore non può essere modificato. La aws:SourceIdentity chiave è presente nel contesto della richiesta per tutte le azioni intraprese dal ruolo. L'identità di origine persiste nelle sessioni di ruolo successive quando si utilizzano le credenziali di sessione per assumere un altro ruolo. L'assunzione di un ruolo partendo da un altro si chiama concatenamento del ruolo.

La seguente policy mostra un esempio di come puoi negare l'accesso a sessioni con credenziali di sicurezza temporanee utilizzando la chiave di contesto della condizione.aws:SourceIdentity. Se si specifica l'identità di origine associata a una sessione di ruolo, verranno negate le sessioni di ruolo con l'identità di origine denominata senza influire sulle autorizzazioni del ruolo che ha creato le credenziali. Per questo esempio, l'identità di origine impostata dal principale al momento del rilascio della sessione di ruolo è. nikki_wolf@example.com Qualsiasi richiesta effettuata da una sessione di ruolo con l'identità di origine nikki_wolf@example.com verrà rifiutata perché l'identità di origine è inclusa nella condizione della policy e la policy Effect è impostata suDeny.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": [
            "nikki_wolf@example.com",
            "<source identity value>"
          ]
        }
      }
    }
  ]
}

aws:userid

È possibile utilizzare la chiave di contesto della condizione aws:userid per negare l'accesso a tutte o a specifiche sessioni di credenziali di sicurezza temporanee associate all'IAMutente o al ruolo. A tale scopo, è necessario specificare l'identificatore univoco (ID) dell'IAMutente, del ruolo o dell'utente federato a cui sono associate le credenziali di sicurezza temporanee nell'elemento di una politica. Condition

La seguente policy mostra un esempio di come puoi negare l'accesso a sessioni con credenziali di sicurezza temporanee utilizzando la chiave di contesto della condizione.aws:userid.

  • AIDAXUSER1rappresenta l'identificatore univoco di un utente. IAM La specificazione dell'identificatore univoco di un IAM utente come valore per la chiave di contesto aws:userid negherà tutte le sessioni associate all'utente. IAM

  • AROAXROLE1rappresenta l'identificatore univoco di un ruolo. IAM La specificazione dell'identificatore univoco di un IAM ruolo come valore per la chiave di contesto aws:userid negherà tutte le sessioni associate al ruolo.

  • AROAXROLE2:<caller-specified-role-session-name> rappresenta l'identificatore univoco per una sessione del ruolo assunto. Nella parte caller-specified-role-session -name dell'identificatore univoco del ruolo assunto è possibile specificare un nome di sessione di ruolo o un carattere jolly se viene utilizzato l'operatore condition. StringLike Se specifichi il nome di sessione del ruolo, verrà negata la sessione di ruolo denominata senza influire sulle autorizzazioni del ruolo che ha creato le credenziali. Se specifichi un carattere jolly per il nome di sessione del ruolo, verranno negate tutte le sessioni associate al ruolo.

    Nota

    Il nome della sessione di ruolo specificato dal chiamante, che fa parte dell'identificatore univoco per una sessione con ruolo assunto, può cambiare durante il concatenamento dei ruoli. Il concatenamento dei ruoli si verifica quando un ruolo assume un altro ruolo. Il nome della sessione del ruolo viene impostato utilizzando il parametro RoleSessionName request quando il principale assume un ruolo utilizzando il AWS STS AssumeRoleAPIoperazione.

  • account-id:<federated-user-caller-specified-name> rappresenta l'identificatore univoco per una sessione di un utente federato. Un utente federato viene creato da un IAM utente che chiama il GetFederationToken API. Se specifichi l'identificatore univoco per un utente federato, verrà negata la sessione dell'utente federato denominata senza influire sulle autorizzazioni del ruolo che ha creato le credenziali.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:userId": [
            "AIDAXUSER1",
            "AROAXROLE1",
            "AROAXROLE2:<caller-specified-role-session-name>",
            "account-id:<federated-user-caller-specified-name>"
          ]
        }
      }
    }
  ]
}

Per esempi specifici di valori chiave del principale, consulta Valori della chiave dell'entità principale. Per informazioni sugli identificatori IAM univoci, vedere. Identificatori univoci

Rifiutare un utente di sessione con policy basate sulle risorse

Se il principale ARN è incluso anche in qualsiasi politica basata sulle risorse, è inoltre necessario revocare l'accesso in base all'utente principalId o ai sourceIdentity valori specifici nell'elemento di una politica basata sulle risorse. Principal Se aggiorni solo la policy delle autorizzazioni per il ruolo, l'utente può comunque eseguire le azioni consentite nella policy basata sulle risorse.

  1. Fai riferimento a AWS servizi che funzionano con IAM per verificare se il servizio supporta policy basate sulle risorse.

  2. Accedere al AWS Management Console e apri la console per il servizio. Ogni servizio ha una posizione diversa nella console per allegare le policy.

  3. Modifica l'informativa sulla policy per specificare le informazioni identificative delle credenziali:

    1. InPrincipal, inserisci la ARN credenziale da negare.

    2. In Effect, inserisci "Nega".

    3. In Action, inserisci lo spazio dei nomi del servizio e il nome dell'azione da rifiutare. Per negare tutte le azioni, usa il carattere jolly (*). Ad esempio: "s3:*".

    4. InResource, inserisci la risorsa ARN di destinazione. Ad esempio: «arn:aws:s3: ::amzn-s3-demo-bucket».

    {
"Version": "2012-10-17",
  "Statement": {
    "Principal": [
            "arn:aws:iam::222222222222:role/ROLENAME",
            "arn:aws:iam::222222222222:user/USERNAME",
            "arn:aws:sts::222222222222:federated-user/USERNAME" 
    ],
    "Effect": "Deny",
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
  }
}

  4. Salva il tuo lavoro.