권한 세트로 생성된 활성 IAM 역할 세션 취소 - AWS IAM Identity Center

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

권한 세트로 생성된 활성 IAM 역할 세션 취소

다음은 IAM Identity Center 사용자의 활성 권한 세트 세션을 취소하는 일반적인 절차입니다. 이 절차에서는 자격 증명이 손상된 사용자 또는 시스템에 있는 악의적인 작업자의 모든 액세스를 제거하려는 것으로 가정합니다. 사전 조건은 권한 세트에서 생성한 활성 IAM 역할 세션을 취소하기 위한 준비의 지침을 따르는 것입니다. 서비스 제어 정책()에 모든 거부 정책이 있다고 가정합니다SCP.

참고

AWS 에서는 콘솔 전용 작업을 제외한 모든 단계를 처리할 수 있도록 자동화를 구축할 것을 권장합니다.

  1. 액세스를 취소해야 하는 사람의 사용자 ID를 가져옵니다. 자격 증명 스토어를 사용하여 사용자 이름으로 사용자를 APIs 찾을 수 있습니다.

  2. 서비스 제어 정책()의 1단계에서 사용자 ID를 추가하도록 거부 정책을 업데이트합니다SCP. 이 단계를 완료하면 대상 사용자는 액세스 권한을 상실하고 정책이 영향을 미치는 역할에 대해 작업을 수행할 수 없습니다.

  3. 사용자의 모든 권한 세트 할당을 제거합니다. 그룹 멤버십을 통해 액세스가 할당된 경우 모든 그룹 및 모든 직접 권한 세트 할당에서 사용자를 제거합니다. 이 단계에서는 사용자가 추가 IAM 역할을 수임하지 못하도록 합니다. 사용자에게 활성 AWS 액세스 포털 세션이 있고 사용자를 비활성화한 경우 사용자가 액세스를 제거할 때까지 새 역할을 계속 수임할 수 있습니다.

  4. ID 제공업체(idP) 또는 Microsoft Active Directory를 ID 원본으로 사용하는 경우 ID 원본에서 사용자를 비활성화합니다. 사용자를 비활성화하면 추가 AWS 액세스 포털 세션이 생성되지 않습니다. IdP 또는 Microsoft Active Directory API 설명서를 사용하여이 단계를 자동화하는 방법을 알아봅니다. IAM Identity Center 디렉터리를 자격 증명 소스로 사용하는 경우 아직 사용자 액세스를 비활성화하지 마십시오. 6단계에서 사용자 액세스를 비활성화하게 됩니다.

  5. IAM Identity Center 콘솔에서 사용자를 찾고 활성 세션을 삭제합니다.

    1. 사용자를 선택하세요.

    2. 삭제하려는 활성 세션의 사용자를 선택합니다.

    3. 사용자 상세 페이지에서 활성 세션 탭을 선택합니다.

    4. 삭제하고 싶은 세션 옆의 체크박스를 선택하고 세션 삭제를 선택합니다.

    이렇게 하면 사용자의 AWS 액세스 포털 세션이 약 60분 이내에 중지됩니다. 세션 기간에 대해 알아봅니다.

  6. IAM Identity Center 콘솔에서 사용자 액세스를 비활성화합니다.

    1. 사용자를 선택하세요.

    2. 액세스를 비활성화할 사용자를 선택합니다.

    3. 사용자 세부 정보 페이지에서 일반 정보를 확장하고 사용자 액세스 비활성화 버튼을 선택하여 사용자의 추가 로그인을 방지합니다.

  7. 거부 정책은 최소 12시간 동안 그대로 둡니다. 그렇지 않으면 활성 IAM 역할 세션이 있는 사용자는 IAM 해당 역할로 복원된 작업을 갖게 됩니다. 12시간을 기다리면 활성 세션이 만료되고 사용자는 IAM 역할에 다시 액세스할 수 없습니다.

중요

사용자 세션을 중지하기 전에 사용자의 액세스를 비활성화하는 경우(5단계를 완료하지 않고 6단계를 완료함) IAM Identity Center 콘솔을 통해 더 이상 사용자 세션을 중지할 수 없습니다. 사용자 세션을 중지하기 전에 사용자 액세스를 실수로 비활성화한 경우 사용자를 다시 활성화하고 세션을 중지한 다음 액세스를 다시 비활성화할 수 있습니다.

이제 암호가 손상된 경우 사용자의 자격 증명을 변경하고 해당 사용자의 할당을 복원할 수 있습니다.