本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 “拒绝” 策略撤消活跃用户权限
当 IAM Identity Center 用户正在使用权限集 Amazon Web Services 账户 时,您可能需要撤销该用户的访问权限。您可以通过事先为未指定用户实施拒绝策略来取消他们使用其活跃 IAM 角色会话的权限,然后在需要时可以更新 “拒绝” 策略以指定要阻止其访问权限的用户。本主题说明如何创建 “拒绝” 策略以及部署策略的注意事项。
准备撤消由权限集创建的主动 IAM 角色会话
您可以通过使用服务控制策略对特定用户应用全部拒绝策略来阻止用户使用他们正在积极使用的 IAM 角色采取操作。您还可以阻止用户使用任何权限集,直到您更改密码,这会删除主动滥用被盗证书的不良行为者。如果您需要广泛拒绝访问并阻止用户重新进入权限集或访问其他权限集,则还可以删除所有用户访问权限,停止有效的 Amazon Web Services 访问门户会话,并禁用用户登录。请参阅撤消由权限集创建的主动 IAM 角色会话,了解如何将 “拒绝” 策略与其他操作结合使用,以实现更广泛的访问权限撤销。
拒绝策略
您可以使用拒绝策略,其条件与 IAM Identity Center 身份存储UserID中用户的条件相匹配,以防止用户正在使用的 IAM 角色采取进一步的操作。使用此策略可以避免对部署拒绝策略时可能使用相同权限集的其他用户造成影响。此策略使用占位符用户 ID Add user ID
here"identitystore:userId"此,您将使用要撤消访问权限的用户 ID 进行更新。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "*" ], "Resource": "*", "Condition": { "StringEquals": { "identitystore:userId": "Add user ID here" } } } ] }
尽管你可以使用另一个条件键(例如,)“aws:userId”,“identitystore:userId”但可以肯定,因为它是与一个人关联的全球唯一值。在条件“aws:userId”中使用可能会受到从您的身份来源同步用户属性的方式的影响,并且如果用户的用户名或电子邮件地址发生变化,则可能会发生变化。
在 IAM Identity Center 控制台中,您可以identitystore:userId通过导航到用户、按用户名搜索用户、展开常规信息部分并复制用户 ID 来查找用户。在搜索用户 ID 时,停止用户的 Amazon Web Services 访问门户会话并禁用他们在同一部分的登录访问权限也很方便。您可以通过查询身份存储 API 来获取用户的用户 ID,从而自动创建拒绝策略。
部署拒绝策略
您可以使用无效的占位符用户 ID(例如)Add user ID here
除了使用 SCP 之外,您还可以在权限集的内联策略和用户可以访问的权限集使用的客户托管策略中包含拒绝策略。
如果您必须撤消多人的访问权限,则可以在条件块中使用值列表,例如:
"Condition": { "StringEquals": { "identitystore:userId": ["user1 userId", "user2 userId"...] } }
重要
无论您使用哪种方法,都必须采取任何其他纠正措施,并在策略中保留用户的用户 ID 至少 12 小时。在此之后,用户担任的任何角色都将过期,然后您可以将其用户 ID 从 “拒绝” 策略中删除。