Mencabut kredensi IAM keamanan sementara peran

Awas

Jika Anda mengikuti langkah-langkah di halaman ini, semua pengguna dengan sesi saat ini yang dibuat dengan asumsi peran ditolak akses ke semua AWS tindakan dan sumber daya. Hal ini dapat mengakibatkan pengguna kehilangan pekerjaan yang belum disimpan.

Ketika Anda mengizinkan pengguna untuk mengakses AWS Management Console dengan waktu durasi sesi yang lama (seperti 12 jam), kredensi sementara mereka tidak kedaluwarsa dengan cepat. Jika pengguna secara tidak sengaja mengekspos kredensialnya kepada pihak ketiga yang tidak sah, pihak tersebut memiliki akses selama sesi berlangsung. Namun, Anda dapat segera mencabut semua izin untuk kredensial peran yang diterbitkan sebelum waktu tertentu jika perlu. Semua kredensial sementara untuk peran tersebut yang diterbitkan sebelum waktu yang ditentukan menjadi tidak berlaku. Ini memaksa semua pengguna untuk mengautentikasi ulang dan meminta kredensi baru.

catatan

Anda tidak dapat mencabut sesi untuk peran yang terkait dengan layanan.

Saat Anda mencabut izin untuk peran menggunakan prosedur dalam topik ini, AWS lampirkan kebijakan sebaris baru ke peran yang menolak semua izin untuk semua tindakan. Ini mencakup sebuah syarat yang menerapkan pembatasan hanya jika pengguna mengasumsikan peran tersebut sebelum waktu saat Anda mencabut izin. Jika pengguna mengasumsikan peran tersebut setelah Anda mencabut izin, maka kebijakan penolakan tidak berlaku bagi pengguna tersebut.

Untuk informasi lebih lanjut tentang menolak akses, lihatMenonaktifkan izin untuk kredensial keamanan sementara.

penting

Kebijakan penolakan ini berlaku untuk semua pengguna peran yang ditentukan, bukan hanya untuk mereka yang memiliki sesi konsol durasi yang lebih lama.

Izin minimum untuk mencabut izin sesi dari peran

Untuk dapat berhasil mencabut izin sesi dari peran, Anda harus memiliki izin PutRolePolicy untuk peran tersebut. Ini memungkinkan Anda untuk melampirkan kebijakan inline AWSRevokeOlderSessions ke peran tersebut.

Mencabut izin sesi

Anda dapat mencabut izin sesi dari peran untuk menolak semua izin kepada pengguna mana pun yang mengambil peran tersebut.

catatan

Anda tidak dapat mengedit peran IAM yang dibuat dari set izin Pusat IAM Identitas. Anda harus mencabut sesi set izin aktif untuk pengguna di Pusat IAM Identitas. Untuk informasi selengkapnya, lihat Mencabut sesi IAM peran aktif yang dibuat oleh set izin di Panduan Pengguna Pusat IAM Identitas.

Untuk segera menolak semua izin untuk pengguna kredensial peran saat ini

1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Peran, lalu pilih nama (bukan kotak centang) peran yang izinnya ingin dicabut.

3. Di halaman Ringkasan untuk peran yang dipilih, pilih tab Cabut sesi.

4. Di tab Cabut sesi, pilih Cabut sesi aktif.

5. AWS meminta Anda untuk mengkonfirmasi tindakan. Pilih Saya mengakui bahwa saya mencabut semua sesi aktif untuk peran ini. centang kotak dan pilih Cabut sesi aktif pada kotak dialog.

   IAMkemudian melampirkan kebijakan yang dinamai AWSRevokeOlderSessions untuk peran tersebut. Setelah Anda memilih Cabut sesi aktif, kebijakan menolak semua akses ke pengguna yang mengambil peran di masa lalu serta sekitar 30 detik ke depan. Pilihan future time ini memperhitungkan penundaan propagasi kebijakan untuk menangani sesi baru yang diperoleh atau diperbarui sebelum kebijakan yang diperbarui berlaku di wilayah tertentu. Setiap pengguna yang mengambil peran lebih dari sekitar 30 detik setelah Anda memilih Mencabut sesi aktif tidak terpengaruh. Untuk mempelajari mengapa perubahan tidak selalu langsung terlihat, lihat Perubahan yang saya buat tidak selalu langsung terlihat.

catatan

Jika Anda memilih untuk Mencabut sesi aktif lagi nanti, stempel tanggal dan waktu dalam kebijakan akan di-refresh dan sekali lagi menolak semua izin untuk setiap pengguna yang mengambil peran sebelum waktu yang ditentukan.

Pengguna valid yang sesinya dicabut dengan cara ini harus memperoleh kredensial sementara untuk sesi baru untuk melanjutkan bekerja. AWS CLI Cache kredensialnya sampai kedaluwarsa. Untuk memaksa menghapus dan menyegarkan kredenal cache yang tidak lagi valid, jalankan salah satu perintah berikut: CLI

Linux, macOS, atau Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

Mencabut izin sesi sebelum waktu yang ditentukan

Anda juga dapat mencabut izin sesi kapan saja sesuai pilihan Anda menggunakan AWS CLI atau SDK untuk menentukan nilai aws: TokenIssueTime kunci dalam elemen Kondisi kebijakan.

Kebijakan ini menolak semua izin jika nilainya lebih awal dari aws:TokenIssueTime tanggal dan waktu yang ditentukan. Nilai dari aws:TokenIssueTime sesuai dengan waktu yang tepat saat kredensial keamanan sementara dibuat. aws:TokenIssueTimeNilai hanya ada dalam konteks AWS permintaan yang ditandatangani dengan kredenal keamanan sementara, sehingga pernyataan Deny dalam kebijakan tidak memengaruhi permintaan yang ditandatangani dengan kredensi jangka panjang pengguna. IAM

Kebijakan ini juga dapat dilampirkan pada suatu peran. Dalam hal ini, kebijakan hanya memengaruhi kredensial keamanan sementara yang dibuat oleh peran sebelum tanggal dan waktu yang ditentukan.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}

Pengguna valid yang sesinya dicabut dengan cara ini harus memperoleh kredensial sementara untuk sesi baru untuk melanjutkan bekerja. AWS CLI Cache kredensialnya sampai kedaluwarsa. Untuk memaksa menghapus dan menyegarkan kredenal cache yang tidak lagi valid, jalankan salah satu perintah berikut: CLI

Linux, macOS, atau Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache