거부 정책을 사용하여 활성 사용자 권한을 취소하십시오. - AWS IAM Identity Center
권한 집합으로 생성된 활성 IAM 역할 세션을 취소할 준비를 하십시오.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

거부 정책을 사용하여 활성 사용자 권한을 취소하십시오.

사용자가 권한 집합을 적극적으로 사용하는 AWS 계정 동안에는 IAM Identity Center 사용자의 액세스를 취소해야 할 수 있습니다. 지정되지 않은 사용자에 대해 미리 거부 정책을 구현하여 활성 IAM 역할 세션을 사용할 수 없게 한 다음, 필요한 경우 거부 정책을 업데이트하여 액세스를 차단하려는 사용자를 지정할 수 있습니다. 이 항목에서는 거부 정책을 만드는 방법과 정책 배포 방법에 대한 고려 사항에 대해 설명합니다.

권한 집합으로 생성된 활성 IAM 역할 세션을 취소할 준비를 하십시오.

서비스 제어 정책을 사용하여 특정 사용자에 대해 모두 거부 정책을 적용하여 사용자가 현재 사용 중인 IAM 역할로 작업을 수행하지 못하도록 할 수 있습니다. 또한 암호를 변경할 때까지 사용자가 권한 세트를 사용하지 못하도록 할 수 있습니다. 이렇게 하면 도용된 자격 증명을 적극적으로 악용하는 악의적인 공격자를 제거할 수 있습니다. 액세스를 광범위하게 거부하고 사용자가 권한 집합을 다시 입력하거나 다른 권한 집합에 접근하는 것을 방지해야 하는 경우 모든 사용자 액세스를 제거하고 Active AWS Access Portal 세션을 중지하고 사용자 로그인을 비활성화할 수도 있습니다. 광범위한 액세스 취소를 위한 추가 조치와 함께 거부 정책을 사용하는 방법을 권한 집합으로 생성된 활성 IAM 역할 세션 취소 알아보려면 을 참조하십시오.

거부 정책

IAMIdentity Center ID 저장소의 사용자 조건과 일치하는 거부 정책을 사용하여 사용자가 적극적으로 사용하고 있는 IAM 역할에 의한 추가 작업을 방지할 수 있습니다. UserID 이 정책을 사용하면 거부 정책을 배포할 때 동일한 권한 집합을 사용하고 있을 수 있는 다른 사용자에게 영향을 미치지 않습니다. 이 정책은 플레이스홀더 사용자 ID를 사용합니다.여기에 사용자 ID 추가"identitystore:userId"이를 위해 액세스 권한을 취소하려는 사용자 ID로 업데이트해야 합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}

와 같은 “aws:userId” 다른 조건 키를 사용할 수도 있지만 “identitystore:userId” 이 키는 한 사람과 관련된 전 세계적으로 고유한 값이기 때문에 확실합니다. 조건에서 사용하는 “aws:userId” 것은 ID 소스에서 사용자 속성이 동기화되는 방식에 영향을 받을 수 있으며, 사용자의 사용자 이름 또는 이메일 주소가 변경되면 변경될 수 있습니다.

IAMIdentity Center 콘솔에서 사용자로 이동하여 이름으로 사용자를 검색하고 일반 정보 섹션을 확장한 다음 사용자 ID를 복사하여 사용자를 찾을 수 있습니다. identitystore:userId 사용자 ID를 검색하는 동안 동일한 섹션에서 사용자의 AWS 액세스 포털 세션을 중지하고 로그인 액세스를 비활성화하는 것도 편리합니다. ID 저장소 쿼리를 통해 사용자의 사용자 ID를 가져오면 거부 정책을 생성하는 프로세스를 자동화할 수 있습니다. APIs

거부 정책 배포

유효하지 않은 자리 표시자 사용자 ID를 사용하여 AWS 계정 사용자가 액세스할 수 있는 서비스 제어 정책 (SCP) 을 사용하여 거부 정책을 미리 배포할 수 있습니다. Add user ID here 쉽고 빠르게 적용할 수 있기 때문에 이 방법을 사용하는 것이 좋습니다. 거부 정책을 사용하여 사용자의 액세스를 취소할 때는 정책을 편집하여 자리 표시자 사용자 ID를 액세스를 취소하려는 사람의 사용자 ID로 교체합니다. 이렇게 하면 연결한 모든 계정에 설정된 권한으로 사용자가 어떤 작업도 수행할 수 없습니다. SCP 사용자가 액티브 AWS 액세스 포털 세션을 사용하여 다른 계정으로 이동하고 다른 역할을 맡는 경우에도 사용자의 활동을 차단합니다. 에 의해 사용자의 접근이 SCP 완전히 차단되면 필요한 경우 로그인 기능을 비활성화하고, 할당을 취소하고, AWS 액세스 포털 세션을 중지할 수 있습니다.

를 사용하는 SCPs 대신 권한 집합의 인라인 정책과 사용자가 액세스할 수 있는 권한 집합에서 사용하는 고객 관리형 정책에 거부 정책을 포함할 수도 있습니다.

두 명 이상의 사용자에 대한 액세스를 취소해야 하는 경우 조건 블록에 다음과 같은 값 목록을 사용할 수 있습니다.


            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }
중요

어떤 방법을 사용하든 다른 수정 조치를 취하고 해당 사용자의 사용자 ID를 정책에 12시간 이상 보관해야 합니다. 이 시간이 지나면 사용자가 맡은 모든 역할이 만료되므로 거부 정책에서 해당 사용자 ID를 제거할 수 있습니다.