Отключить программный доступ для пользователя AWS SSO

Question

Отключить программный доступ для пользователя AWS SSO

есть ли способ отключить программный доступ для пользователей, выполняющих вход с помощью AWS SSO? Можно ли управлять программным и консольным доступом с помощью политик или групп?

9

amazon-web-services aws-sso

Источник

user10676123 04 май '21 в 22:50

3 ответа

Другие вопросы по тегам amazon-web-services aws-sso

user8836967 28 сен '21 в 16:01 2021-09-28 16:01 · Answer 1 · 2021-09-28 16:01

Нет, вы не можете запретить пользователям входить в систему и запрещать программный доступ, потому что после входа в систему у них есть возможность получить необходимые данные для программного доступа.

1

Источник

user8836967 28 сен '21 в 16:01

user5493813 27 сен '21 в 11:55 2021-09-27 11:55 · Answer 2 · 2021-09-27 11:55

Разрешениями, которые пользователь имеет через систему единого входа, по-прежнему можно управлять с помощью групп и ролей AWS IAM (Identity and Access Management). Те же разрешения, которые есть у пользователя через IAM в консоли AWS, могут использоваться пользователем при программном доступе к AWS через интерфейс командной строки или SDK.

Для получения токена сеанса пользователю не требуются разрешения. Цель операции GetSessionToken - аутентифицировать пользователя с помощью MFA. Вы не можете использовать политики для управления операциями аутентификации.Источник

Поэтому я не думаю, что вы можете запретить пользователю использовать ключи доступа для получения временных маркеров сеанса для программного доступа.

Почему вы хотите запретить программный доступ для пользователей, и правильно ли я предполагаю, что вы имеете в виду доступ через интерфейс командной строки и SDK к AWS под программным доступом?

user6110346 28 сен '21 в 17:42 2021-09-28 17:42 · Answer 3 · 2021-09-28 17:42

Да, вы можете, но именно то, как именно, будет скрыто в деталях реализации реализации SSO вашей организации. Брокер пользовательской идентификации вашего SSO отвечает за сопоставление учетных данных AD конкретного пользователя с ролью AWS IAM, которая может иметь или не иметь разрешения на вход в интерфейс командной строки. Брокер должен контролировать, какую именно роль получает пользователь. Другой способ - контролировать доступ к ключам доступа AWS, необходимым для использования интерфейса командной строки или SDK. У ваших пользователей системы единого входа не должно быть разрешения на создание собственных ключей. Они должны поступать из ИТ-отдела или должны быть настраиваемой функцией вашей реализации единого входа. Например, в моей организации на портале AWS есть 2 ссылки; один для доступа к консоли и один для отображения временных ключей доступа, которые можно скопировать в среду bash или использовать с SDK.