Révocation des informations d'identification de sécurité temporaires d'un rôle IAM - AWS Identity and Access Management
Autorisations minimales pour révoquer les autorisations de session d'un rôleRévocation des autorisations de sessionRévocation des autorisations de session avant une heure spécifiée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Révocation des informations d'identification de sécurité temporaires d'un rôle IAM

Avertissement

Si vous suivez les étapes indiquées sur cette page, tous les utilisateurs dont les sessions ont été créées en assumant le rôle se voient refuser l'accès à toutes les AWS actions et ressources. Cela peut entraîner le risque pour les utilisateurs de perdre leur travail non sauvegardé.

Lorsque vous autorisez les utilisateurs à accéder AWS Management Console à une session de longue durée (12 heures, par exemple), leurs informations d'identification temporaires n'expirent pas aussi rapidement. Si les utilisateurs exposent par inadvertance leurs informations d'identification à un tiers non autorisé, celui-ci dispose d'un accès pendant la durée de la session. Cependant, vous pouvez révoquer immédiatement toutes les autorisations aux informations d'identification du rôle émises avant un moment donné, si nécessaire. Toutes les informations d'identification temporaires pour ce rôle qui ont été émises avant le moment spécifié deviennent non valides. Cela force tous les utilisateurs à s'authentifier de nouveau et demande de nouvelles informations d'identification.

Note

Vous ne pouvez pas révoquer la session d'un rôle lié à un service.

Lorsque vous révoquez des autorisations pour un rôle à l'aide de la procédure décrite dans cette rubrique, AWS vous associez une nouvelle politique intégrée au rôle qui refuse toutes les autorisations pour toutes les actions. Il inclut une condition qui applique les restrictions uniquement si l'utilisateur a endossé le rôle avant le moment où vous avez révoqué les autorisations. Si l'utilisateur endosse le rôle après la révocation des autorisations, la politique de rejet ne s'applique pas à cet utilisateur.

Pour plus d'informations sur le refus d'accès, veuillez consulter la rubrique Désactivation des autorisations affectées aux informations d'identification de sécurité temporaires.

Important

Cette politique de rejet s'applique à tous les utilisateurs du rôle spécifié, pas seulement à ceux dont les sessions de console durent plus longtemps.

Autorisations minimales pour révoquer les autorisations de session d'un rôle

Pour révoquer les autorisations de session d'un rôle avec succès, vous devez disposer de l'autorisation PutRolePolicy pour ce rôle. Cela vous permet d'attacher la politique en ligne AWSRevokeOlderSessions au rôle.

Révocation des autorisations de session

Vous pouvez révoquer les autorisations de session d'un rôle.

Pour refuser immédiatement toutes autorisations à tout utilisateur actuel des informations d'identification du rôle

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Roles (Rôles), puis le nom (pas la case à cocher) du rôle dont vous voulez révoquer les autorisations.

  3. Sur la page Récapitulatif du rôle sélectionné, choisissez l'onglet Révoquer les sessions.

  4. Dans l'onglet Révoquer les sessions, choisissez Révoquer les sessions actives.

  5. AWS vous demande de confirmer l'action. Cochez la case I acknowledge that I am revoking all active sessions for this role. (Je reconnais que je révoque toutes les sessions actives pour ce rôle.) et choisissez Revoke active sessions (Révoquer les sessions actives) dans la boîte de dialogue.

    IAM attache ensuite une politique nommée AWSRevokeOlderSessions au rôle. Une fois que vous avez choisi Révoquer les sessions actives, la politique refuse tout accès aux utilisateurs qui ont assumé le rôle dans le passé et environ 30 secondes dans le futur. Ce choix d'heure futur prend en compte le délai de propagation de la politique afin de traiter une nouvelle session acquise ou renouvelée avant que la politique mise à jour ne soit en vigueur dans une région donnée. Tout utilisateur qui assume le rôle plus de 30 secondes environ après avoir sélectionné Révoquer les sessions actives n'est pas concerné. Pour savoir pourquoi les modifications ne sont pas toujours visibles immédiatement, consultez la section Les modifications que j'apporte ne sont pas toujours visibles immédiatement.

Note

Si vous choisissez de révoquer à nouveau les sessions actives ultérieurement, la date et l'heure de la politique sont actualisées et toutes les autorisations sont à nouveau refusées à tout utilisateur ayant assumé le rôle avant la nouvelle heure spécifiée.

Les utilisateurs valides dont les sessions sont révoquées de cette manière doivent obtenir des informations d'identification temporaires pour qu'une nouvelle session continue de fonctionner. Le AWS CLI met en cache les informations d'identification jusqu'à leur expiration. Pour forcer la CLI à supprimer et actualiser les informations d'identification mises en cache qui ne sont plus valides, exécutez l'une des commandes suivantes :

Linux, macOS ou Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

Révocation des autorisations de session avant une heure spécifiée

Vous pouvez également révoquer les autorisations de session à tout moment de votre choix à l'aide du SDK AWS CLI ou afin de spécifier une valeur pour la lois : TokenIssueTime clé dans l'élément Condition d'une politique.

Cette politique refuse toutes les autorisations lorsque la valeur de aws:TokenIssueTime est antérieure aux date et heure spécifiées. La valeur de aws:TokenIssueTime correspond à l'exacte à laquelle les informations d'identification de sécurité temporaires ont été créées. La aws:TokenIssueTime valeur n'est présente que dans le contexte des AWS demandes signées avec des informations d'identification de sécurité temporaires, de sorte que l'instruction Deny de la politique n'affecte pas les demandes signées avec les informations d'identification à long terme de l'utilisateur IAM.

Cette politique peut également être attachée à un rôle. Dans ce cas, la politique affecte uniquement les informations d'identification de sécurité temporaires créées par le rôle avant la date et l'heure spécifiées.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}

Les utilisateurs valides dont les sessions sont révoquées de cette manière doivent obtenir des informations d'identification temporaires pour qu'une nouvelle session continue de fonctionner. Les informations d'identification sont mises en AWS CLI cache jusqu'à leur expiration. Pour forcer la CLI à supprimer et actualiser les informations d'identification mises en cache qui ne sont plus valides, exécutez l'une des commandes suivantes :

Linux, macOS ou Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache