撤消由权限集创建的主动IAM角色会话 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

撤消由权限集创建的主动IAM角色会话

以下是撤销 Ident IAM ity Center 用户的活动权限集会话的一般过程。该过程假设您要移除凭证受损的用户或系统中恶意行为者的所有访问权限。先决条件是遵循 准备撤消由权限集创建的活动IAM角色会话 中的指导。我们假设服务控制策略 (SCP) 中存在 “全部拒绝” 策略。

注意

AWS 建议您构建自动化以处理除仅限控制台的操作之外的所有步骤。

  1. 获取必须撤销其访问权限之人的用户 ID。您可以使用身份存储APIs按用户名查找用户。

  2. 更新 “拒绝” 策略,将步骤 1 中的用户 ID 添加到您的服务控制策略(SCP)中。完成此步骤后,目标用户会失去访问权限,无法对受该策略影响的任何角色执行操作。

  3. 移除该用户的所有权限集分配。如果通过组成员资格分配访问权限,请将该用户从所有组和所有直接权限集分配中移除。此步骤可防止用户扮演任何其他IAM角色。如果用户拥有有效的 AWS 访问门户会话,而您禁用了该用户,则他们可以继续扮演新角色,直到您删除其访问权限。

  4. 如果您将身份提供者(IdP)或 Microsoft Active Directory 用作身份源,请在身份源中禁用该用户。禁用该用户可以防止创建其他 AWS 访问门户会话。使用你的 IdP 或 Microsoft Active Directory API 文档来学习如何自动执行此步骤。如果您使用 Ident IAM ity Center 目录作为身份源,请不要禁用用户访问权限。在步骤 6 中禁用用户访问权限。

  5. 在 IAM Identity Center 控制台中,找到该用户并删除其活动会话。

    1. 选择用户

    2. 选择要删除其活跃会话的用户。

    3. 在用户详细信息页面上,选择活跃会话选项卡。

    4. 选中要删除的会话旁边的复选框,然后选择删除会话

    这可确保用户的 AWS 访问门户会话在大约 60 分钟内停止。了解会话持续时间

  6. 在 Ident IAM ity Center 控制台中,禁用用户访问权限。

    1. 选择用户

    2. 选择要禁用访问权限的用户。

    3. 在用户详细信息页面上展开一般信息,然后选择禁用用户访问权限按钮,防止该用户继续登录。

  7. 保留“拒绝策略”至少 12 小时。否则,具有活动IAM角色会话的用户将恢复对该IAM角色的操作。如果您等待 12 小时,则活动会话将过期,用户将无法再次访问该IAM角色。

重要

如果您在停止用户会话之前禁用了用户的访问权限(您在未完成步骤 5 的情况下完成了步骤 6),则无法再通过 Ident IAM ity Center 控制台停止用户会话。如果在停止用户会话之前无意中禁用了用户访问权限,则可以重新启用用户,停止其会话,然后再次禁用其访问权限。

现在,如果用户密码被盗用,您可以更改用户凭证并恢复其分配