Revogar sessões de IAM função ativa criadas por conjuntos de permissões - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Revogar sessões de IAM função ativa criadas por conjuntos de permissões

A seguir está um procedimento geral para revogar uma sessão ativa de conjunto de permissões para um usuário do IAM Identity Center. O procedimento pressupõe que você queira remover todo o acesso de um usuário cujas credenciais foram comprometidas ou de um agente mal-intencionado que está no sistema. O pré-requisito é ter seguido as orientações em Prepare-se para revogar uma sessão de IAM função ativa criada por um conjunto de permissões. Presumimos que a política de negar tudo esteja presente em uma política de controle de serviço (SCP).

nota

AWS recomenda que você crie automação para lidar com todas as etapas, exceto as operações somente do console.

  1. Obtenha o ID do usuário cujo acesso você deve revogar. Você pode usar o repositório de identidades APIs para encontrar o usuário pelo nome de usuário.

  2. Atualize a política de negação para adicionar o ID do usuário da etapa 1 em sua política de controle de serviço (SCP). Após essa etapa ser concluída, o usuário-alvo perde o acesso e não consegue realizar ações com nenhum perfil afetado pela política.

  3. Remova todas as atribuições de conjunto de permissões do usuário. Se o acesso foi atribuído por meio de associações a grupos, remova o usuário de todos os grupos e de todas as atribuições diretas do conjunto de permissões. Essa etapa impede que o usuário assuma qualquer IAM função adicional. Se um usuário tiver uma sessão ativa do portal de AWS acesso e você desabilitar o usuário, ele poderá continuar assumindo novas funções até que você remova o acesso.

  4. Se você usar um provedor de identidades (IdP) ou o Microsoft Active Directory como fonte de identidades, desabilite o usuário na fonte de identidades. Desabilitar o usuário impede a criação de sessões adicionais no portal de acesso AWS . Use sua API documentação do IdP ou do Microsoft Active Directory para saber como automatizar essa etapa. Se você estiver usando o diretório do IAM Identity Center como fonte de identidade, ainda não desabilite o acesso do usuário. Você desabilitará o acesso do usuário na etapa 6.

  5. No console do IAM Identity Center, localize o usuário e exclua sua sessão ativa.

    1. Selecione Usuários.

    2. Escolha o usuário cuja sessão ativa você deseja excluir.

    3. Na página de detalhes do usuário, escolha a guia Sessões ativas.

    4. Marque as caixas de seleção ao lado das sessões que você deseja excluir e selecione Excluir sessão.

    Isso garante que a sessão do portal de AWS acesso do usuário seja interrompida em aproximadamente 60 minutos. Saiba mais sobre a duração da sessão.

  6. No console do IAM Identity Center, desative o acesso do usuário.

    1. Selecione Usuários.

    2. Escolha o usuário que deseja desabilitar.

    3. Na página de detalhes do usuário, expanda Informações gerais e escolha o botão Desabilitar o acesso do usuário para evitar que usuário faça outros logins.

  7. Mantenha a política de negação em vigor por pelo menos 12 horas. Caso contrário, o usuário com uma sessão de IAM função ativa terá ações restauradas com a IAM função. Se você esperar 12 horas, as sessões ativas expirarão e o usuário não poderá acessar a IAM função novamente.

Importante

Se você desabilitar o acesso de um usuário antes de interromper a sessão do usuário (você concluiu a etapa 6 sem concluir a etapa 5), não poderá mais interromper a sessão do usuário por meio do console do IAM Identity Center. Se você desabilitar inadvertidamente o acesso do usuário antes de interromper a sessão do usuário, poderá reativá-lo, interromper a sessão e, em seguida, desabilitar novamente seu acesso.

Agora você poderá alterar as credenciais do usuário se a senha dele tiver sido comprometida e restaurar suas atribuições.