拒否ポリシーを使用してアクティブなユーザーのアクセス許可を取り消す - AWS IAM Identity Center
アクセス許可セットによって作成されたアクティブなIAMロールセッションを取り消す準備をする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

拒否ポリシーを使用してアクティブなユーザーのアクセス許可を取り消す

ユーザーがアクセス許可セットをアクティブに使用している AWS アカウント 間は、IAMIdentity Center ユーザーの へのアクセスを取り消す必要がある場合があります。未指定ユーザーの拒否ポリシーを事前に実装することで、アクティブなIAMロールセッションを使用する機能を削除できます。必要に応じて、拒否ポリシーを更新して、アクセスをブロックするユーザーを指定できます。このトピックでは、拒否ポリシーを作成する方法と、ポリシーをデプロイする方法に関する考慮事項について説明します。

アクセス許可セットによって作成されたアクティブなIAMロールセッションを取り消す準備をする

サービスコントロールポリシーを使用して特定のユーザーにすべてのポリシーを拒否することで、ユーザーがアクティブに使用しているIAMロールでアクションを実行できないようにできます。また、パスワードを変更するまで、ユーザーがアクセス許可セットを使用することを禁止できます。これにより、盗まれた認証情報を悪用する悪意のある攻撃者が削除されます。アクセスを広く拒否し、ユーザーがアクセス許可セットを再入力したり、他のアクセス許可セットにアクセスしたりしないようにする必要がある場合は、すべてのユーザーアクセスを削除し、アクティブな AWS アクセスポータルセッションを停止して、ユーザーのサインインを無効にすることもできます。より広範なアクセス失効アクセス許可セットによって作成されたアクティブなIAMロールセッションを取り消すのための追加のアクションと組み合わせて拒否ポリシーを使用する方法については、「」を参照してください。

ポリシーを拒否する

Identity Center ID ストアUserIDからユーザーの IAM に一致する条件を指定して拒否ポリシーを使用すると、ユーザーがアクティブに使用している IAMロールによるそれ以上のアクションを防ぐことができます。このポリシーを使用すると、拒否ポリシーをデプロイするときに同じアクセス許可セットを使用している可能性のある他のユーザーへの影響を回避できます。このポリシーでは、プレースホルダーユーザー ID、ここにユーザー ID を追加するでは、アクセスを取り消すユーザー ID で "identitystore:userId" を更新します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}

などの別の条件キーを使用できます“identitystore:userId”“aws:userId”、これは 1 人のユーザーに関連付けられているグローバルに一意の値であるため、 は確実です。“aws:userId” 条件で を使用すると、ユーザー属性が ID のソースから同期される方法の影響を受け、ユーザーのユーザー名または E メールアドレスが変更されると変更される可能性があります。

IAM Identity Center コンソールから、ユーザー に移動し、ユーザーを名前で検索し、一般情報セクションを展開し、ユーザー ID をコピーidentitystore:userIdすることで、ユーザーの を見つけることができます。また、ユーザー ID を検索しながら、ユーザーの AWS アクセスポータルセッションを停止し、同じセクションでサインインアクセスを無効にするのも便利です。ID ストア をクエリしてユーザーのユーザー ID を取得することで、拒否ポリシーを作成するプロセスを自動化できますAPIs。

拒否ポリシーのデプロイ

など、無効なプレースホルダーユーザー ID を使用してAdd user ID here、 AWS アカウント ユーザーにアタッチしたサービスコントロールポリシー (SCP) を使用して、事前に拒否ポリシーをデプロイできます。これは、影響の容易さとスピードのために推奨されるアプローチです。拒否ポリシーを使用してユーザーのアクセスを取り消す場合、ポリシーを編集して、プレースホルダーユーザー ID を、アクセスを取り消すユーザーのユーザー ID に置き換えます。これにより、ユーザーは、 をアタッチするすべてのアカウントでアクセス許可が設定されているアクションを実行できなくなりますSCP。アクティブな AWS アクセスポータルセッションを使用して異なるアカウントに移動し、異なるロールを引き受けた場合でも、ユーザーのアクションはブロックされます。ユーザーのアクセスが によって完全にブロックされるとSCP、サインイン、割り当ての取り消し、必要に応じて AWS アクセスポータルセッションを停止する機能を無効にできます。

を使用する代わりにSCPs、アクセス許可セットのインラインポリシーと、ユーザーがアクセスできるアクセス許可セットによって使用されるカスタマー管理ポリシーに拒否ポリシーを含めることもできます。

複数のユーザーのアクセスを取り消す必要がある場合は、条件ブロックの値のリストを使用できます。


            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }
重要

使用する方法にかかわらず、他の是正措置を講じ、ユーザーのユーザー ID をポリシーに少なくとも 12 時間保持する必要があります。その後、ユーザーが引き受けたロールはすべて期限切れになり、拒否ポリシーからユーザー ID を削除できます。