Revogar sessões ativas de perfil do IAM criadas por conjuntos de permissões - AWS IAM Identity Center

Revogar sessões ativas de perfil do IAM criadas por conjuntos de permissões

O procedimento a seguir é o procedimento genérico para revogação de uma sessão ativa de um conjunto de permissões do IAM Identity Center. O procedimento pressupõe que você queira remover todo o acesso de um usuário cujas credenciais foram comprometidas ou de um agente mal-intencionado que está no sistema. O pré-requisito é ter seguido as orientações em Preparar-se para revogar sessões ativas de perfil do IAM criadas por conjuntos de permissões. Presumimos que a política de negação total esteja presente em uma política de controle de serviços (SCP).

nota

A AWS recomenda que você desenvolva automação para lidar com todas as etapas, exceto as operações apenas de console.

  1. Obtenha o ID do usuário cujo acesso você deve revogar. Você pode usar as APIs do repositório de identidades para encontrar o usuário por seu nome de usuário.

  2. Atualize a política de negação para adicionar o ID do usuário da etapa 1 na sua política de controle de serviços (SCP). Após essa etapa ser concluída, o usuário-alvo perde o acesso e não consegue realizar ações com nenhum perfil afetado pela política.

  3. Remova todas as atribuições de conjunto de permissões do usuário. Se o acesso foi atribuído por meio de associações a grupos, remova o usuário de todos os grupos e de todas as atribuições diretas do conjunto de permissões. Essa etapa evita que o usuário assuma qualquer outro perfil do IAM. Se um usuário tiver uma sessão ativa do portal de acesso AWS e você desabilitá-lo, ele poderá continuar assumindo novos perfis até que seu acesso seja removido.

  4. Se você usar um provedor de identidades (IdP) ou o Microsoft Active Directory como fonte de identidades, desabilite o usuário na fonte de identidades. Desabilitar o usuário impede a criação de sessões adicionais no portal de acesso AWS. Use a documentação do seu IdP ou das APIs do Microsoft Active Directory para saber como automatizar essa etapa. Se você estiver usando o diretório do IAM Identity Center como fonte de identidades, não desabilite o acesso do usuário ainda. Você desabilitará o acesso do usuário na etapa 6.

  5. No console do IAM Identity Center, encontre o usuário e exclua sua sessão ativa.

    1. Selecione Usuários.

    2. Escolha o usuário cuja sessão ativa você deseja excluir.

    3. Na página de detalhes do usuário, escolha a guia Sessões ativas.

    4. Marque as caixas de seleção ao lado das sessões que você deseja excluir e selecione Excluir sessão.

    Isso garante que a sessão do portal de acesso AWS do usuário seja interrompida em aproximadamente 60 minutos. Saiba mais sobre a duração da sessão.

  6. No console do IAM Identity Center, desabilite o acesso do usuário.

    1. Selecione Usuários.

    2. Escolha o usuário que deseja desabilitar.

    3. Na página de detalhes do usuário, expanda Informações gerais e escolha o botão Desabilitar o acesso do usuário para evitar que usuário faça outros logins.

  7. Mantenha a política de negação em vigor por pelo menos 12 horas. Caso contrário, as ações do usuário com uma sessão de perfil do IAM ativa serão restauradas com perfil do IAM. Se você esperar 12 horas, as sessões ativas expirarão e o usuário não poderá voltar acessar o perfil do IAM.

Importante

Se você desabilitar o acesso de um usuário antes de interromper a sessão do usuário (você concluiu a etapa 6 sem concluir a etapa 5), não poderá mais interromper a sessão do usuário usando o console do IAM Identity Center. Se você desabilitar inadvertidamente o acesso do usuário antes de interromper a sessão do usuário, poderá reativá-lo, interromper a sessão e, em seguida, desabilitar novamente seu acesso.

Agora você poderá alterar as credenciais do usuário se a senha dele tiver sido comprometida e restaurar suas atribuições.