権限セットによって作成されたアクティブな IAM ロールセッションを取り消す
IAM Identity Center ユーザーのアクティブな権限セットセッションを取り消す一般的な手順は次のとおりです。この手順では、認証情報を侵害したユーザー、またはシステム内に存在する悪質な行為者のすべてのアクセス権を削除することを前提としています。前提条件として、権限セットによって作成されたアクティブな IAM ロールセッションを取り消す準備をする のガイダンスに従っている必要があります。「すべてを拒否する」ポリシーがサービスコントロールポリシー (SCP) 内に存在することを前提としています。
注記
AWS では、コンソールのみのオペレーションを除くすべてのステップを処理するオートメーションを構築することをお勧めしています。
-
アクセス権を取り消す必要があるユーザーのユーザー ID を取得します。ID ストア API を使用して、ユーザー名でユーザーを検索できます。
-
拒否ポリシーを更新して、サービスコントロールポリシー (SCP) のステップ 1 のユーザー ID を追加します。このステップを完了すると、ターゲットユーザーはアクセス権を失い、ポリシーの影響下にあるすべてのロールでアクションを実行できなくなります。
-
そのユーザーに対するすべての権限セットの割り当てを削除します。アクセス権がグループメンバーシップを介して割り当てられている場合は、すべてのグループとすべての直接権限セットの割り当てからユーザーを削除します。このステップにより、ユーザーは追加の IAM ロールを引き受けることができなくなります。アクティブな AWS アクセスポータルセッションを持っているユーザーを無効にした場合、そのユーザーはアクセスが削除されるまでは新しいロールを引き受けることができます。
-
ID プロバイダー (IdP) または Microsoft Active Directory を ID ソースとして使用する場合は、ID ソース内でユーザーを無効にします。ユーザーを無効にすると、追加の AWS アクセスポータルセッションが作成されなくなります。IdP または Microsoft Active Directory API ドキュメントを使用して、このステップを自動化する方法について説明します。ID ソースとして IAM Identity Center ディレクトリを使用している場合は、ユーザーアクセスをまだ無効にしないでください。ステップ 6 でユーザーアクセスを無効にします。
-
IAM Identity Center コンソールで、ユーザーを検索し、アクティブなセッションを削除します。
-
[ユーザー] を選択します。
-
アクティブなセッションを削除したいユーザーを選択します。
-
ユーザー詳細ページで、[アクティブセッション] タブを選択します。
-
削除するセッションの横にあるチェックボックスを選択して、[セッションを削除] を選択します。
これにより、そのユーザーの AWS アクセスポータルセッションが約 60 分以内に停止します。セッション期間についての詳細をご確認ください。
-
-
IAM Identity Center コンソールでユーザーアクセスを無効化します。
-
[ユーザー] を選択します。
-
アクセスを無効化したいユーザーを選択します。
-
ユーザー詳細ページで、[一般情報] を展開し、[ユーザーアクセスを無効にする] ボタンを選択して、ユーザーが今後ログインできないようにします。
-
-
拒否ポリシーは少なくとも 12 時間保持すること。そうでないと、アクティブな IAM ロールセッションを持つユーザーであれば IAM ロールのアクションを復元できてしまいます。12 時間経過すると、アクティブなセッションはすべて失効するため、ユーザーは IAM ロールに再度アクセスできなくなります。
重要
ユーザーセッションを停止する前にユーザーアクセスを無効すると (ステップ 5 を実施する前にステップ 6 を完了した場合)、IAM Identity Center コンソールからユーザーセッションを停する操作ができなくなります。ユーザーセッションを停止する前に誤って先にユーザーアクセスを無効にしてしまった場合は、ユーザーをいったん有効にしてセッションを停止してから、ユーザーアクセスを再度無効にしてください。
これにより、もしパスワードが侵害されたのであれば、ユーザーの認証情報を変更して割り当てを復元することができます。
