AWS Identity and Access Management
ユーザーガイド

IAM ロールの一時的なセキュリティ認証情報の取り消し

警告

このページの手順に従うと、ロールを引き受けることによって作成された現在のセッションのすべてのユーザーは、すべての AWS アクションとリソースへのアクセスを拒否されます。その結果、保存されていない作業は失われます。

ユーザーが長いセッションの有効期間 (12 時間など) を使用して AWS マネジメントコンソール にアクセスできるようにすると、一時的な認証情報がすぐに期限切れになることはありません。ユーザーが意図せずに認証情報を不正なサードパーティーに公開した場合、そのパーティーはセッションの期間アクセスできます。ただし、必要がある場合は、特定の時点より前に発行したロールの認証情報の、すべてのアクセス許可をすぐに取り消しできます。指定された時間より前に発行された、そのロールのすべての一時的な認証情報が無効になります。これにより、すべてのユーザーは新しい認証情報を再認証し、リクエストしなければならなくなります。

注記

サービスにリンクされたロールのセッションを取り消すことはできません。

このトピックの手順を使用してロールのアクセス許可を取り消す場合、AWS は、すべてのアクションへのすべてのアクセス許可を拒否するロールに新しいインラインポリシーをアタッチします。このポリシーに含まれる条件によって制限が適用されるのは、アクセス許可が取り消されるにユーザーがロールを引き受けた場合のみです。アクセス許可が取り消されたにユーザーがロールを引き受けた場合、拒否ポリシーはそのユーザーに適用されません。

重要

この拒否ポリシーは、期間が長いコンソールセッションを使用するユーザーにだけでなく、指定されたロールのすべてのユーザーに適用されます。

ロールからセッションアクセス権限を取り消すための最小限のアクセス権限

ロールから正常にセッションアクセス許可を取り消すには、ロールの PutRolePolicy アクセス許可が必要です。これにより、AWSRevokeOlderSessions インラインポリシーをロールにアタッチできます。

セッションアクセス許可の取り消し

ロールからセッションアクセス許可を取り消すことができます。

ロール認証情報のすべての現在のユーザーの、すべてのアクセス許可をすぐに拒否するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. [IAM ダッシュボード] のナビゲーションペインで、[ロール] を選択してから、アクセス許可を取り消すロールの名前 (チェックボックスではありません) を選択します。

  3. 選択したロールの [Summary (概要)] ページで、[セッションの無効化] タブを選択します。

  4. [セッションの無効化] タブで、[アクティブなセッションの無効化] を選択します。

  5. AWS によってアクションを確認するよう求められます。ダイアログボックスで、[アクティブなセッションの無効化] を選択します。

    IAM によってすぐに AWSRevokeOlderSessions という名前のポリシーがロールにアタッチされます。このポリシーでは、[アクティブなセッションの無効化] を選択する前にロールを引き受けたユーザーへのすべてのアクセスを拒否します。[アクティブなセッションの無効化] を選択したにロールを引き受けたユーザーすべては影響を受けません

    ユーザーやリソースに新しいポリシーを適用すると、ポリシーの更新が有効になるまでに数分かかることがあります。

注記

ポリシーの削除について覚えておく必要はありません。セッションを取り消したにロールを引き受けたユーザーは、ポリシーの影響を受けません。後でもう一度 [セッションの無効化] を選択すると、ポリシーの日時スタンプは更新され、新しく指定した時間より前にロールを引き受けたすべてのユーザーの、すべてのアクセス許可が再度拒否されます。

この方法でセッションが取り消された有効なユーザーは、作業を続行するには新しいセッション用の一時的な認証情報を取得する必要があります。AWS CLI は、期限切れになるまで認証情報をキャッシュすることに注意してください。有効でなくなった、キャッシュされている認証情報の削除と更新を CLI に強制するには、次のいずれかのコマンドを実行します。

Linux、macOS、または Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

詳細については、「一時的なセキュリティ認証情報のアクセス権限を無効にする」を参照してください。