Revocación de las credenciales de seguridad temporales de un rol de IAM - AWS Identity and Access Management

Revocación de las credenciales de seguridad temporales de un rol de IAM

aviso

Si sigue los pasos que se indican en esta página, se denegará el acceso a todas las acciones y recursos de AWS a todos los usuarios con sesiones actuales que se hayan creado adoptando el rol. Esto puede hacer que los usuarios pierdan el trabajo que no hayan guardado.

Cuando habilita a los usuarios para obtener acceso a la AWS Management Console en una sesión de larga duración (como, por ejemplo, 12 horas), sus credenciales temporales no caducan tan rápidamente. Si los usuarios revelan accidentalmente sus credenciales a un tercero no autorizado, ese tercero podrá obtener acceso mientras dure la sesión. Sin embargo, si es preciso, puede revocar inmediatamente todos los permisos de las credenciales del rol emitidas antes de un momento dado. Todas las credenciales temporales de dicho rol que se hayan emitido antes de ese momento dado dejarán de ser válidas. Esto obliga a todos los usuarios a volver a autenticarse y a solicitar credenciales nuevas.

nota

No se puede revocar la sesión de un rol vinculado a un servicio.

Cuando revoca los permisos de un rol ejecutando el procedimiento indicado en este tema, AWS asocia una política insertada nueva al rol que deniega todos los permisos para todas las acciones. Incluye una condición que aplica las restricciones solo si el usuario asumió el rol antes del momento en que usted revocó los permisos. Si el usuario asume el rol después de que usted revocara los permisos, la política de denegación no se aplica a ese usuario.

Para obtener más información sobre cómo denegar el acceso, consulte Deshabilitar permisos para credenciales de seguridad temporales.

importante

Esta política de denegación se aplica a todos los usuarios del rol especificado y no solo a las sesiones de la consola de más larga duración.

Permisos mínimos para revocar permisos de sesión de un rol.

Para poder revocar efectivamente los permisos de sesión de un rol, debe tener el permiso PutRolePolicy para el rol. Esto le permite asociar la política insertada AWSRevokeOlderSessions al rol.

Revocación de permisos de sesión.

Puede revocar los permisos de sesión de un rol para denegar todos los permisos a cualquier usuario que haya asumido el rol.

nota

No puede editar los roles en IAM que se hayan creado a partir de conjuntos de permisos del IAM Identity Center. Debe revocar la sesión del conjunto de permisos activo para un usuario en el IAM Identity Center. Para obtener más información, consulte Revocar sesiones de rol de IAM creadas por conjuntos de permisos en la Guía del usuario de IAM Identity Center.

Para denegar inmediatamente todos los permisos a cualquier usuario de credenciales de rol
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Roles y, a continuación, elija el nombre (no la casilla de verificación) del rol cuyos permisos desee revocar.

  3. En la página Summary (Resumen) del rol seleccionado, elija la pestaña Revoke sessions (Revocar sesiones).

  4. En la pestaña Revoke sessions (Revocar sesiones), seleccione Revoke active sessions (Revocar sesiones activas).

  5. AWS le solicitará que confirme la acción. Seleccione la casilla I acknowledge that I am revoking all active sessions for this role (Confirmo que voy a revocar todas las sesiones activas de este rol) y elija Revoke active sessions (Revocar sesiones activas) en el cuadro de diálogo.

    IAM asociará inmediatamente una política llamada AWSRevokeOlderSessions al rol. Al elegir Revocar sesiones activas, la política denegará el acceso a los usuarios que asumieron el rol en el pasado y en aproximadamente 30 segundos en el futuro. Esta elección de hora futura tiene en cuenta el retraso de propagación de la política para tratar una nueva sesión que se adquirió o renovó antes de que la política actualizada entre en vigor en una región determinada. Ningún usuario que haya asumido el rol aproximadamente 30 segundos después de que usted haya elegido Revocar sesiones activas no resultará afectado. Para saber por qué los cambios no siempre son visibles inmediatamente, consulte Los cambios que realizo no están siempre visibles inmediatamente.

nota

Si más tarde vuelve a elegir Revocar sesiones, la fecha y la marca temporal de la política se actualizarán y la política volverá a denegar todos los permisos a todos los usuarios que asumieron el rol antes de la nueva hora especificada.

Los usuarios válidos cuyas sesiones se revocan de esta forma deben obtener credenciales temporales para una nueva sesión para poder seguir trabajando. Las credenciales de caché de la AWS CLI hasta que caducan. Para obligar a la CLI a eliminar y actualizar las credenciales en caché que ya no son válidas, ejecute uno de los comandos siguientes:

Linux, macOS o Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

Revocación de los permisos de sesión antes de un tiempo específico

También puede revocar los permisos de sesión en el momento que elija mediante el AWS CLI o el SDK para especificar un valor para la aws:TokenIssueTime clave en el elemento Condición de una política.

Esta política deniega todos los permisos cuando el valor de aws:TokenIssueTime es anterior a la fecha y la hora especificadas. El valor de aws:TokenIssueTime corresponde al intervalo de tiempo exacto en el que se han creado las credenciales de seguridad temporales. El valor de aws:TokenIssueTime solo está presente en el contexto de las solicitudes de AWS que se firman con credenciales de seguridad temporales, de modo que la instrucción de denegación de la política no afecta a las solicitudes que se firman con las credenciales a largo plazo del usuario de IAM.

Esta política también puede asociarse a un rol. En tal caso, la política solo afecta a las credenciales de seguridad temporales que el rol ha creado antes de la fecha y la hora especificadas.

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"} } } }

Los usuarios válidos cuyas sesiones se revocan de esta forma deben obtener credenciales temporales para una nueva sesión para poder seguir trabajando. Las credenciales de caché de la AWS CLI hasta que caducan. Para obligar a la CLI a eliminar y actualizar las credenciales en caché que ya no son válidas, ejecute uno de los comandos siguientes:

Linux, macOS o Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache