Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Revoca le sessioni di IAM ruolo attive create dai set di autorizzazioni
Di seguito è riportata una procedura generale per revocare una sessione attiva del set di autorizzazioni per un utente di Identity Center. IAM La procedura presuppone che si desideri rimuovere tutti gli accessi per un utente con credenziali compromesse o per un malintenzionato presente nel sistema. Il prerequisito è aver seguito le indicazioni contenute in. Preparati a revocare una sessione di IAM ruolo attiva creata da un set di autorizzazioni Partiamo dal presupposto che la politica di rifiuto totale sia presente in una politica di controllo del servizio ()SCP.
Nota
AWS consiglia di creare un'automazione per gestire tutti i passaggi tranne le operazioni solo su console.
-
Ottieni l'ID utente della persona a cui devi revocare l'accesso. Puoi utilizzare l'archivio di identità APIs per trovare l'utente in base al suo nome utente.
-
Aggiorna la politica di rifiuto per aggiungere l'ID utente dal passaggio 1 della politica di controllo del servizio (SCP). Dopo aver completato questo passaggio, l'utente di destinazione perde l'accesso e non è in grado di intraprendere azioni con i ruoli interessati dalla policy.
-
Rimuove tutte le assegnazioni dei set di autorizzazioni per l'utente. Se l'accesso viene assegnato tramite l'appartenenza ai gruppi, rimuovi l'utente da tutti i gruppi e da tutte le assegnazioni dirette dei set di autorizzazioni. Questo passaggio impedisce all'utente di assumere ruoli aggiuntivi. IAM Se un utente ha una sessione attiva del portale di AWS accesso e l'utente viene disabilitato, può continuare ad assumere nuovi ruoli fino a quando non viene rimosso l'accesso.
-
Se utilizzi un provider di identità (IdP) o Microsoft Active Directory come origine di identità, disabilita l'utente nell'origine dell'identità. La disabilitazione dell'utente impedisce la creazione di sessioni aggiuntive del portale di AWS accesso. Usa la API documentazione del tuo IdP o di Microsoft Active Directory per scoprire come automatizzare questo passaggio. Se utilizzi la directory IAM Identity Center come fonte di identità, non disabilitare ancora l'accesso degli utenti. Disabiliterai l'accesso degli utenti nel passaggio 6.
-
Nella console di IAM Identity Center, trova l'utente ed elimina la sessione attiva.
-
Scegliere Users (Utenti).
-
Scegli l'utente di cui desideri eliminare la sessione attiva.
-
Nella pagina dei dettagli dell'utente, scegli la scheda Sessioni attive.
-
Seleziona le caselle di controllo accanto alle sessioni che desideri eliminare e scegli Elimina sessione.
Ciò garantisce che la sessione del portale di AWS accesso dell'utente si interrompa entro circa 60 minuti. Scopri la durata della sessione.
-
-
Nella console IAM Identity Center, disabilita l'accesso degli utenti.
-
Scegliere Users (Utenti).
-
Scegli l'utente di cui desideri disabilitare l'accesso.
-
Nella pagina dei dettagli dell'utente, espandi Informazioni generali e scegli il pulsante Disabilita l'accesso utente per impedire ulteriori accessi dell'utente.
-
-
Lascia in vigore la politica di rifiuto per almeno 12 ore. In caso contrario, l'utente con una sessione di IAM ruolo attiva avrà ripristinato le azioni relative al IAM ruolo. Se attendi 12 ore, le sessioni attive scadono e l'utente non potrà più accedere al IAM ruolo.
Importante
Se si disabilita l'accesso di un utente prima di interrompere la sessione utente (è stato completato il passaggio 6 senza completare il passaggio 5), non è più possibile interrompere la sessione utente tramite la console IAM Identity Center. Se si disabilita inavvertitamente l'accesso utente prima di interrompere la sessione utente, è possibile riabilitare l'utente, interrompere la sessione e quindi disabilitare nuovamente l'accesso.
