メニュー
AWS Identity and Access Management
ユーザーガイド

IAM ロールの一時的なセキュリティ認証情報の取り消し

警告

このページの手順に従うと、ロールを引き受けることによって作成された現在のセッションのすべてのユーザーは、すべての AWS アクションとリソースへのアクセスを拒否されます。 その結果、保存されていない作業は失われます。

ユーザーが長いセッションの有効期間 (12 時間など) を使用して AWS マネジメントコンソール にアクセスできるようにすると、一時的な認証情報がすぐに期限切れになることはありません。 ユーザーが意図せずに認証情報を不正なサードパーティーに公開した場合、そのパーティーはセッションの期間アクセスできます。 ただし、必要がある場合は、特定の時点より前に発行したロールの認証情報の、すべてのアクセス許可をすぐに取り消しできます。 指定された時間より前に発行された、そのロールのすべての一時的な認証情報が無効になります。 これにより、すべてのユーザーは新しい認証情報を再認証し、リクエストしなければならなくなります。

このトピックの手順を使用してロールのアクセス許可を取り消す場合、AWS は、すべてのアクションへのすべてのアクセス許可を拒否するロールに新しいインラインポリシーをアタッチします。 アクセス許可を取り消すの時点でユーザーがロールを引き受けた場合にのみ、制限に適用される条件が含まれます。 アクセス許可が取り消されたにユーザーがロールを引き受けた場合、拒否ポリシーはそのユーザーに適用されません。

重要

この拒否ポリシーは、期間が長いコンソールセッションを使用するユーザーにだけでなく、指定されたロールのすべてのユーザーに適用されることに注意してください。

ロールからセッションアクセス許可を取り消すための最小限のアクセス許可

ロールから正常にセッションアクセス許可を取り消すには、ロールの AttachRolePolicy アクセス許可が必要です。 これにより、AWSRevokeOlderSessions ポリシーをロールに追加することができます。

セッションアクセス許可のキャンセル

ロールからセッションアクセス許可を取り消すには、次の手順に従います。

ロール認証情報のすべての現在のユーザーの、すべてのアクセス許可をすぐに拒否するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [IAM ダッシュボード] のナビゲーションペインで、[Roles] を選択してから、アクセス許可を取り消すロールの名前 (チェックボックスではありません) を選択します。

  3. 選択したロールの [Summary] ページで、[Revoke Sessions] タブを選択します。

  4. [Revoke Sessions] タブで、[Revoke active sessions] を選択します。

  5. AWS によってアクションを確認するよう求められます。 ダイアログボックスで、[Revoke active sessions] を選択します。

    IAM が、ロールに AWSRevokeOlderSessions という名前のポリシーをすぐにアタッチします。 ポリシーは、[Revoke active sessions] を選択した時点より前に、ロールを引き受けたユーザーへのすべてのアクセスを拒否します。 [Revoke active sessions] を選択したにロールを引き受けたユーザーすべては影響を受けません

    重要

    既存のポリシーのアクセス権限を更新したとき、または、ユーザーやリソースに新しいポリシーを適用したときに、ポリシーの更新が有効になるまでに数分かかることがあります。

注記

ポリシーの削除について覚えておく必要はありません。 セッションを取り消したにロールを引き受けたユーザーは、ポリシーの影響を受けません。 後でもう一度 [Revoke Sessions] を選択すると、ポリシーの日時スタンプは更新され、新しく指定した時間より前にロールを引き受けたすべてのユーザーの、すべてのアクセス許可が再度拒否されます。

この方法でセッションが取り消された有効なユーザーは、作業を続行するには新しいセッション用の一時的な認証情報を取得する必要があります。AWS CLI は、期限切れになるまで認証情報をキャッシュすることに注意してください。有効でなくなった、キャッシュされている認証情報の削除と更新を CLI に強制するには、次のいずれかのコマンドを実行します。

Linux、MacOS、または Unix

Copy
$ rm -r ~/.aws/cli/cache

Windows

Copy
C:\> del /s /q %UserProfile%\.aws\cli\cache

詳細については、「一時的なセキュリティ認証情報のアクセス権限を無効にする」を参照してください。