禁用临时安全凭证的权限 - AWS Identity and Access Management
拒绝访问与角色关联的所有 IAM 角色会话拒绝访问特定 IAM 角色会话使用条件上下文键拒绝访问临时安全凭证会话拒绝访问使用基于资源的策略的指定主体

禁用临时安全凭证的权限

临时安全凭证在过期之前一直有效。这些凭证在指定的时间段内有效,即 900 秒(15 分钟)到最长 129600 秒(36 小时)之间。默认会话持续时间为 43200 秒(12 小时)。您可以撤消这些凭证,但还须更改 IAM 用户或角色的权限,以阻止他人通过泄露的凭证进行恶意账户活动。每次使用临时安全凭证发出 AWS 请求时,系统都会评估分配给该凭证的权限。从凭证中删除所有权限后,使用这些权限的 AWS 请求会失败。

可能需要几分钟时间,策略更新才能生效。对于 IAM 角色会话,可以撤消角色的临时安全凭证,以强制担任该角色的所有用户重新进行身份验证并请求新的凭证。有关更多信息,请参阅撤销 IAM 角色临时安全凭证

您无法更改 AWS 账户根用户的权限。同样,以根用户身份登录时,您无法更改调用 GetFederationTokenGetSessionToken 创建的临时安全凭证的权限。因此,我们建议您不要以根用户身份调用 GetFederationTokenGetSessionToken

有关如何更改 IAM 用户的权限的过程,请参阅更改 IAM 用户的权限

有关如何更改 IAM 角色的权限的过程,请参阅更新角色的权限

重要

您不能编辑 IAM 中根据 IAM Identity Center 权限集创建的角色。您必须在 IAM Identity Center 中撤消用户的活动权限集会话。有关更多信息,请参阅《IAM Identity Center 用户指南》中的撤消由权限集创建的活动 IAM 角色会话

拒绝访问与角色关联的所有 IAM 角色会话

此过程拒绝针对与角色关联的所有 IAM 角色会话的权限。如果担心他人通过以下方式进行可疑访问,可使用此方法:

  • 使用跨账户存取权限的其他账户主体

  • 有权访问账户中 AWS 资源的外部用户身份

  • 已在移动或 Web 应用程序中使用 OIDC 提供者进行身份验证的用户

要更改或删除通过调用 AssumeRoleAssumeRoleWithSAMLAssumeRoleWithWebIdentityGetFederationTokenGetSessionToken 而获取的临时安全凭证分配的权限,可编辑或删除为角色定义权限的基于身份的策略。

重要

如果存在允许主体访问的基于资源的策略,您还必须为该资源添加显式拒绝。有关详细信息,请参阅 拒绝访问使用基于资源的策略的指定主体

拒绝访问与角色关联的所有 IAM 角色会话

  1. 登录到 AWS Management Console 并打开 IAM 控制台。

  2. 在导航窗格中,选择角色

  3. 选择要编辑的角色的名称。您可以使用搜索框来筛选列表。

  4. 选择权限选项卡。

  5. 选择要编辑的相关策略。在编辑客户管理型策略之前,请查看附加的实体选项卡,以免中断用户对可能附加了相同策略的其他身份的访问权限。

  6. 选择 JSON 选项卡并更新策略以拒绝所有资源和操作。

    注意

    这些权限与 AWS 托管式策略 AWSDenyAll 中的权限相同。您可以将此 AWS 托管式策略附加到您想要拒绝其所有访问权限的任何 IAM 用户或角色。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAll",
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*"
        }
    ]
}

  7. 审核页面上,检查策略摘要,然后选择保存更改进行保存。

更新策略时,所做的更改会影响与该角色关联的所有临时安全凭证的权限,包括在更改该角色的权限策略之前颁发的凭证。

更新策略后,您可以撤消角色的临时安全凭证,以立即撤消对该角色的已颁发凭证的所有权限。

拒绝访问特定 IAM 角色会话

当您使用“拒绝所有”策略更新 IAM 角色或完全删除该角色时,所有有权访问该角色的用户的访问权限都会中断。您可以在不影响与角色关联的所有其他会话的权限的情况下拒绝访问。

可以使用条件上下文键基于资源的策略拒绝执行 Principal 的权限。

提示

您可以使用 AWS CloudTrail 日志查找联合用户的 ARN。有关更多信息,请参阅 How to Easily Identify Your Federated Users by Using AWS CloudTrail

使用条件上下文键拒绝访问临时安全凭证会话

如果您想要拒绝访问特定临时安全凭证会话,而不影响创建该凭证的 IAM 用户或角色的权限,可以在基于身份的策略中使用条件上下文键。对于 IAM 角色,更新策略后,您可以撤消角色的临时安全凭证会话,以立即撤消所有已颁发的凭证。

有关条件上下文键的更多信息,请参阅 AWS 全局条件上下文密钥

aws:PrincipalArn

您可以在基于身份的策略中使用条件上下文键 aws:PrincipalArn,根据 Amazon 资源名称(ARN)来拒绝访问特定主体。为此,您可以在策略的 Condition 元素中指定与临时安全凭证关联的 IAM 用户、角色或 AWS STS 联合用户会话。

根据 ARN 拒绝访问特定主体

  1. 在 IAM 控制台的导航窗格中,选择用户角色

  2. 选择要编辑的 IAM 用户或角色的名称。您可以使用搜索框来筛选列表。

  3. 选择权限选项卡。

  4. 选择要编辑的相关策略。在编辑客户管理型策略之前,请查看附加的实体选项卡,以免中断用户对可能附加了相同策略的其他身份的访问权限。

  5. 选择 JSON 选项卡并为主体 ARN 添加拒绝语句,如以下示例所示:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "ArnEquals": {
          "aws:PrincipalArn": [
            "arn:aws:iam::222222222222:role/ROLENAME",
            "arn:aws:iam::222222222222:user/USERNAME",
            "arn:aws:iam::222222222222:federated-user/USERNAME" 
          ]
        }
      }
    }
  ]
}

  6. 审核页面上,检查策略摘要,然后选择保存更改进行保存。

aws:SourceIdentity

您可以在基于身份的策略中使用条件上下文键 aws:SourceIdentity 来拒绝访问与 IAM 角色会话关联的特定源身份。只要在主体使用任何 AWS STS assume-role* CLI 命令或 AWS STS AssumeRole* API 操作担任角色时通过设置 SourceIdentity 请求参数发出角色会话,此方法就适用。您可以通过在策略的 Condition 元素中指定与临时安全凭证关联的源身份来执行此操作。

与上下文键 sts:RoleSessionName 不同,在设置源身份后,无法更改该值。aws:SourceIdentity 键存在于角色执行的所有操作的请求上下文中。当您使用会话凭证担任另一个角色时,源身份将保留到后续角色会话中。从一个角色代入另一个角色的过程称为角色链

以下策略显示了如何使用条件上下文键 aws:SourceIdentity 拒绝访问临时安全凭证会话的示例。如果您指定与角色会话关联的源身份,则将拒绝具有已命名源身份的角色会话,而不会影响已创建凭证的角色的权限。对于此示例,发出角色会话时主体设置的源身份为 nikki_wolf@example.com。源身份为 nikki_wolf@example.com 的角色会话发出的任何请求都将被拒绝,因为源身份包含在策略条件中,并且策略效果设置为 Deny

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": [
            "nikki_wolf@example.com",
            "<source identity value>"
          ]
        }
      }
    }
  ]
}

aws:userid

您可以在基于身份的策略中使用条件上下文键 aws:userid 来拒绝访问与 IAM 用户或角色关联的所有或特定临时安全凭证会话。为此,您可以在策略的 Condition 元素中指定与临时安全凭证关联的 IAM 用户、角色或 AWS STS 联合用户会话的唯一标识符(ID)。

以下策略显示了如何使用条件上下文键 aws:userid 拒绝访问临时安全凭证会话的示例。

  • AIDAXUSER1 表示 IAM 用户的唯一 ID。如果将 IAM 用户的唯一 ID 指定为上下文键 aws:userid 的值,这将拒绝访问该 IAM 用户。这包括通过调用 GetSessionToken API 创建的任何临时安全凭证会话。

  • AROAXROLE1:* 表示与 IAM 角色关联的所有会话的唯一 ID。如果在 caller-specified-role-session-name 部分中将 IAM 角色的唯一 ID 和通配符 (*) 指定为上下文键 aws:userid 的值,这将拒绝与该角色关联的所有会话。

  • AROAXROLE2:<caller-specified-role-session-name> 表示担任角色的会话的唯一 ID。在担任角色的唯一 ID 的 caller-specified-role-session-name 部分中,如果使用 StringLike 条件运算符,则可指定角色会话名称或通配符。如果您指定角色会话名称,则将拒绝已命名的角色会话,而不会影响已创建凭证的角色的权限。如果您为角色会话名称指定通配符,则将拒绝与该角色关联的所有会话。

    注意

    调用者指定的角色会话名称,是担任角色会话唯一标识符的一部分,在角色链接期间可能会发生变化。当一个角色担任另一个角色时,就会发生角色链接。角色会话名称是在主体使用 AWS STS AssumeRole API 操作担任角色时使用 RoleSessionName 请求参数设置的。

  • account-id:<federated-user-caller-specified-name> 表示 AWS STS 联合用户会话的唯一 ID。IAM 用户通过调用 GetFederationToken API 创建了此会话。如果为 AWS STS 联合用户指定唯一 ID,这将拒绝已命名的联合用户会话,而不会影响已创建凭证的 IAM 用户的权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:userId": [
            "AIDAXUSER1",
            "AROAXROLE1:*",
            "AROAXROLE2:<caller-specified-role-session-name>",
            "account-id:<federated-user-caller-specified-name>"
          ]
        }
      }
    }
  ]
}

有关主体键值的具体示例,请参阅 主体键值。有关 IAM 唯一标识符以及如何获取此标识符的信息,请参阅唯一标识符

拒绝访问使用基于资源的策略的指定主体

要限制访问使用基于资源的策略的特定主体,可以在 Condition 元素中使用条件上下文键 aws:PrincipalArnaws:SourceIdentity。基于资源的策略是附加到资源的权限策略,可用于指定有权访问资源的用户,以及此类用户可以对资源执行的操作。

使用 aws:PrincipalARN 条件键时,您可以在策略的 Condition 元素中指定与临时安全凭证关联的 IAM 用户、角色或 AWS STS 联合用户会话的 ARN。以下示例策略演示如何在基于资源的策略中使用 aws:PrincipalARN 上下文键:

{
  "Version": "2012-10-17",
  "Statement": {
    "Principal": [
      "*"
    ],
    "Effect": "Deny",
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
      "ArnEquals": {
        "aws:PrincipalArn": [
          "arn:aws:iam::222222222222:role/ROLENAME",
          "arn:aws:iam::222222222222:user/USERNAME",
          "arn:aws:sts::222222222222:federated-user/USERNAME"
        ]
      }
    }
  }
}

使用 aws:SourceIdentity 上下文键时,需要在策略的 Condition 元素中指定与角色的临时安全凭证关联的源身份值。只要在主体使用任何 AWS STS assume-role* CLI 命令或 AWS STS AssumeRole* API 操作担任角色时通过设置 SourceIdentity 请求参数发出角色会话,此方法就适用。以下示例演示如何在基于资源的策略中使用 aws:SourceIdentity 上下文键:

{
  "Version": "2012-10-17",
  "Statement": {
    "Principal": [
      "*"
    ],
    "Effect": "Deny",
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
      "StringLike": {
        "aws:SourceIdentity": [
          "nikki_wolf@example.com",
          "<source identity value>"
        ]
      }
    }
  }
}

如果您仅更新主体的基于身份的策略,则用户仍可以执行基于资源的策略中允许的操作,但基于身份的策略中明确拒绝的操作除外。

拒绝访问基于资源的策略中的指定主体

  1. 请参阅 使用 IAM 的AWS服务 以查看该服务是否支持基于资源的策略。

  2. 登录到 AWS Management Console,然后打开服务控制台。每项服务在控制台中用于附加策略的位置都各不相同。

  3. 编辑基于资源的策略。添加拒绝策略语句来指定凭证的识别信息:

    1. Principal 元素中,输入通配符 (*)。主体将在 Condition 元素中受到限制。

    2. Effect 元素中,输入“Deny”。

    3. Action 中,输入服务命名空间和要拒绝的操作名称。要拒绝所有操作,请使用通配符(*)。例如:"s3:*"

    4. Resource 元素中,输入目标资源的 ARN。例如:"arn:aws:s3:::amzn-s3-demo-bucket"

    5. Condition 元素中,指定 aws:PrincipalARNaws:SourceIdentity 上下文键。

      如果使用 aws:PrincipalARN 上下文键,输入要拒绝其访问的主体的 ARN

      如果使用 aws:SourceIdentity 上下文键,输入在角色会话中设置的源身份值以拒绝其访问。

  4. 保存您的工作。