Revocación de las credenciales de seguridad temporales de un rol de IAM. - AWS Identity and Access Management

Revocación de las credenciales de seguridad temporales de un rol de IAM.

aviso

Si sigue los pasos que se indican en esta página, se denegará el acceso a todas las acciones y recursos de AWS a todos los usuarios con sesiones actuales que se hayan creado adoptando el rol. Esto puede hacer que los usuarios pierdan el trabajo que no hayan guardado.

Cuando habilita a los usuarios para obtener acceso a la Consola de administración de AWS en una sesión de larga duración (como, por ejemplo, 12 horas), sus credenciales temporales no caducan tan rápidamente. Si los usuarios revelan accidentalmente sus credenciales a un tercero no autorizado, ese tercero podrá obtener acceso mientras dure la sesión. Sin embargo, si es preciso, puede revocar inmediatamente todos los permisos de las credenciales del rol emitidas antes de un momento dado. Todas las credenciales temporales de dicho rol que se hayan emitido antes de ese momento dado dejarán de ser válidas. Esto obliga a todos los usuarios a volver a autenticarse y a solicitar credenciales nuevas.

nota

No se puede revocar la sesión de un rol vinculado a un servicio.

Cuando revoca los permisos de un rol ejecutando el procedimiento indicado en este tema, AWS asocia una política en línea nueva al rol que deniega todos los permisos para todas las acciones. Incluye una condición que aplica las restricciones solo si el usuario asumió el rol antes del momento en que usted revocó los permisos. Si el usuario asume el rol después de que usted revocara los permisos, la política de denegación no se aplica a ese usuario.

importante

Esta política de denegación se aplica a todos los usuarios del rol especificado y no solo a las sesiones de la consola de más larga duración.

Permisos mínimos para revocar permisos de sesión de un rol.

Para poder revocar efectivamente los permisos de sesión de un rol, debe tener el permiso PutRolePolicy para el rol. Esto le permite asociar la política insertada AWSRevokeOlderSessions al rol.

Revocación de permisos de sesión.

Puede revocar los permisos de sesión de un rol.

Para denegar inmediatamente todos los permisos a cualquier usuario de credenciales de rol

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación del panel de IAM, seleccione Roles y, a continuación, elija el nombre (no la casilla de verificación) del rol cuyos permisos desee revocar.

  3. En la página Summary (Resumen) del rol seleccionado, elija la pestaña Revoke sessions (Revocar sesiones).

  4. En la pestaña Revoke sessions (Revocar sesiones), seleccione Revoke active sessions (Revocar sesiones activas).

  5. AWS le solicitará que confirme la acción. Elija Revoke active sessions (Revocar sesiones activas) en el cuadro de diálogo.

    IAM asociará inmediatamente una política llamada AWSRevokeOlderSessions al rol. La política denegará el acceso a los usuarios que asumieron el rol antes del momento en que eligió Revoke active sessions (Revocar sesiones activas). Ningún usuario que haya asumido el rol después de que usted haya elegido Revoke active sessions (Revocar sesiones activas) resultará afectado.

    Cuando aplica una nueva política a un usuario o un recurso, puede que las actualizaciones de política tarden varios minutos en surtir efecto.

nota

No se preocupe de acordarse de eliminar la política. Ningún usuario que haya asumido el rol después de que usted revocara las sesiones resultará afectado por la política. Si más tarde vuelve a elegir Revoke Sessions (Revocar sesiones), la marca temporal y la fecha de la política se actualizarán y la política volverá a denegar todos los permisos a todos los usuarios que asumieron el rol antes de la nueva hora especificada.

Los usuarios válidos cuyas sesiones se revocan de esta forma deben obtener credenciales temporales para una nueva sesión para poder seguir trabajando. Tenga en cuenta que la AWS CLI guarda en caché las credenciales hasta que estas caducan. Para obligar a la CLI a eliminar y actualizar las credenciales en caché que ya no son válidas, ejecute uno de los comandos siguientes:

Linux, macOS o Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

Para obtener más información, consulte Deshabilitar permisos para credenciales de seguridad temporales.