Revogação das credenciais de segurança temporárias da função do IAM - AWS Identity and Access Management

Revogação das credenciais de segurança temporárias da função do IAM

Atenção

Se você seguir as etapas nesta página, todos os usuários com sessões atuais criadas ao assumiram a função terão o acesso negado a todas as ações e recursos da AWS. Como resultado, os usuários poderão perder trabalho não salvo.

Ao permitir que os usuários acessem o AWS Management Console com um tempo de duração de sessão longo (como 12 horas), suas respectivas credenciais temporárias não expiram com tanta rapidez. Se os usuários expuserem inadvertidamente suas credenciais a terceiros autorizados, esse terceiro terá acesso por toda a duração da sessão. No entanto, se necessário, você poderá revogar imediatamente todas as permissões para as credenciais da função emitidas antes de um determinado momento. Todas as credenciais temporárias para essa função emitidas antes do tempo especificado se tornam inválidas. Isso força todos os usuários a refazerem a autenticação e solicitar novas credenciais.

nota

Você não pode revogar a sessão para uma função vinculada a serviço.

Quando você revoga permissões para uma função usando o procedimento neste tópico, a AWS anexa uma nova política em linha à função que nega todas as permissões para todas as ações. Ele incluirá uma condição aplicável às restrições somente se o usuário tiver assumido a função antes do momento em que você revogar as permissões. Se o usuário assumir a função depois que você revogar as permissões, a política de negação não se aplicará a esse usuário.

Importante

Essa política de negação se aplica a todos os usuários da função especificada, não apenas às sessões do console com maior duração.

Permissões mínimas para revogar as permissões de sessão de uma função

Para revogar permissões de sessão de uma função com êxito, você deve ter a permissão PutRolePolicy para a função. Isso permite que você anexe a política em linha AWSRevokeOlderSessions à função.

Revogar permissões de uma sessão

Você pode revogar as permissões de sessão de uma função.

Para negar imediatamente todas as permissões para qualquer usuário atual de credenciais de função

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Roles (Funções) e selecione o nome (não a caixa de seleção) da função cujas permissões você deseja revogar.

  3. Na página Resumo para a função selecionada, escolha a guia Revogar sessões.

  4. Na guia Revogar sessões, selecione Revogar sessões ativas.

  5. A AWS pede que você confirme a ação. Marque a caixa de seleção I acknowledge that I am revoking all active sessions for this role. (Confirmo que estou revogando todas as sessões ativas para esse perfil) e escolha Revoke active sessions (Revogar sessões ativas).

    O IAM anexa imediatamente uma política chamada AWSRevokeOlderSessions à função. A política nega todo acesso aos usuários que assumiram o perfil antes do você escolher Revoke active sessions (Revogar sessões ativas). Os usuários que assumirem o perfil após você escolher a opção Revoke active sessions(Revogar sessões ativas) não serão afetados.

    Quando você aplica uma nova política a um usuário ou recurso, pode levar alguns minutos para que as atualizações da política entrem em vigor. Para saber por que as mudanças nem sempre são imediatamente visíveis, consulte As alterações que eu faço nem sempre ficam imediatamente visíveis.

nota

Não se preocupe em se lembrar de excluir a política. Os usuários que assumirem o perfil após você revogar as sessões não serão afetados pela política. Se mais tarde você escolher novamente Revoke Sessions (Revogar sessões), a data e o time stamp da política serão atualizados e ela novamente negará todas as permissões para todos os usuários que assumiram o perfil antes do novo horário especificado.

Os usuários válidos cujas sessões são revogadas dessa forma devem adquirir credenciais temporárias para uma nova sessão para continuar a trabalhar. A AWS CLI armazena em cache as credenciais até que expirem. Para forçar a CLI a excluir e atualizar credenciais de cache que não são mais válidas, execute um dos seguintes comandos:

Linux, macOS ou Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

Para mais informações, consulte Desabilitar permissões de credenciais de segurança temporárias.