Temporäre Sicherheitsanmeldedaten für IAM Rollen widerrufen - AWS Identitäts- und Zugriffsverwaltung
Mindestberechtigungen für das Entziehen von Sitzungsberechtigungen einer RolleWiderrufen von SitzungsberechtigungenWiderrufen von Sitzungsberechtigungen vor einem bestimmten Zeitpunkt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Temporäre Sicherheitsanmeldedaten für IAM Rollen widerrufen

Warnung

Wenn Sie die Schritte auf dieser Seite befolgen, wird allen Benutzern mit aktuellen Sitzungen, die durch die Übernahme der Rolle erstellt wurden, der Zugriff auf alle AWS Aktionen und Ressourcen verweigert. Dies kann dazu führen, dass Benutzer nicht gespeicherte Arbeit verlieren.

Wenn Sie Benutzern den Zugriff auf die AWS Management Console mit einer langen Sitzungsdauer (z. B. 12 Stunden) gestatten, laufen ihre temporären Anmeldeinformationen nicht so schnell ab. Wenn Benutzer versehentlich ihre Anmeldeinformationen nicht autorisierten Dritten preisgeben, haben diese für die Dauer der Sitzung entsprechenden Zugriff. Sie können jedoch sofort alle Berechtigungen für die Anmeldeinformationen der Rolle widerrufen, die vor einem bestimmten Zeitpunkt ausgestellt wurden, wenn dies erforderlich ist. Alle temporären Anmeldeinformationen für diese Rolle, die vor dem angegebenen Zeitpunkt ausgestellt wurden, werden ungültig. Dies zwingt alle Benutzer, sich erneut zu authentifizieren und neue Anmeldeinformationen anfordern.

Anmerkung

Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Wenn Sie mithilfe des in diesem Thema beschriebenen Verfahrens Berechtigungen für eine Rolle entziehen, AWS fügt der Rolle eine neue Inline-Richtlinie hinzu, die alle Berechtigungen für alle Aktionen verweigert. Sie enthält eine Bedingung, die die Einschränkungen nur dann anwendet, wenn der Benutzer die Rolle vor dem Zeitpunkt übernommen hat, zu dem Sie die Berechtigungen widerrufen. Wenn der Benutzer die Rolle übernimmt, nachdem Sie die Berechtigungen entzogen haben, dann gilt die Zugriffsverweigerungsrichtlinie nicht für diesen Benutzer.

Weitere Informationen zum Verweigern des Zugriffs finden Sie unter Deaktivieren von Berechtigungen für temporäre Sicherheitsanmeldeinformationen.

Wichtig

Diese Zugriffsverweigerungsrichtlinie gilt für alle Benutzer der angegebenen Rolle, nicht nur für diejenigen mit Konsolensitzungen mit längerer Dauer.

Mindestberechtigungen für das Entziehen von Sitzungsberechtigungen einer Rolle

Um einer Rolle Sitzungsberechtigungen erfolgreich zu entziehen, müssen Sie über die PutRolePolicy-Berechtigung für die Rolle verfügen. Auf diese Weise können Sie der Rolle die Inline-Richtlinie AWSRevokeOlderSessions anfügen.

Widerrufen von Sitzungsberechtigungen

Sie können einer Rolle die Sitzungsberechtigungen entziehen, um allen Benutzern, die die Rolle übernommen haben, alle Berechtigungen zu verweigern.

Anmerkung

Sie können keine Rollen bearbeitenIAM, die anhand von IAM Identity Center-Berechtigungssätzen erstellt wurden. Sie müssen die aktive Sitzung mit dem Berechtigungssatz für einen Benutzer in IAM Identity Center widerrufen. Weitere Informationen finden Sie unter Widerrufen aktiver IAM Rollensitzungen, die mit Berechtigungssätzen erstellt wurden, im IAMIdentity Center-Benutzerhandbuch.

So verweigern Sie sofort sämtliche Berechtigungen für alle aktuellen Benutzer der Anmeldeinformationen der Rolle

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen und dann den Namen (nicht das Kontrollkästchen) der Rolle, deren Berechtigungen Sie entziehen möchten.

  3. Klicken Sie auf der Seite Summary (Übersicht) für die ausgewählte Rolle auf die Registerkarte Revoke sessions (Sitzungen widerrufen).

  4. Wählen Sie auf der Registerkarte Revoke sessions (Sitzungen widerrufen) die Option Revoke active sessions (Aktive Sitzungen widerrufen).

  5. AWS fordert Sie auf, die Aktion zu bestätigen. Wählen Sie das Kontrollkästchen I acknowledge that I am revoking all active sessions for this role. (Ich bestätige, dass ich alle aktiven Sitzungen für diese Rolle widerrufe.) aus und dann im Dialogfeld Revoke active sessions (Aktive Sitzungen widerrufen).

    IAMfügt dann der Rolle eine Richtlinie mit dem Namen AWSRevokeOlderSessions hinzu. Nachdem Sie Aktive Sitzungen widerrufen ausgewählt haben, verweigert die Richtlinie Benutzern, die diese Rolle in der Vergangenheit übernommen haben, sowie etwa 30 Sekunden in der future jeglichen Zugriff. Bei dieser Wahl des future Zeitpunkts wird die Verbreitungsverzögerung der Richtlinie berücksichtigt, um eine neue Sitzung zu bearbeiten, die erworben oder verlängert wurde, bevor die aktualisierte Richtlinie in einer bestimmten Region in Kraft trat. Jeder Benutzer, der die Rolle mehr als etwa 30 Sekunden, nachdem Sie Aktive Sitzungen widerrufen ausgewählt haben, übernimmt, ist davon nicht betroffen. Um zu erfahren, warum Änderungen nicht immer sofort sichtbar sind, siehe Änderungen, die ich vornehme, sind nicht immer direkt sichtbar.

Anmerkung

Wenn Sie aktive Sitzungen später erneut widerrufen, werden der Datums- und Zeitstempel in der Richtlinie aktualisiert, und es werden erneut allen Benutzern, die die Rolle vor dem neuen angegebenen Zeitpunkt übernommen haben, alle Berechtigungen verweigert.

Gültige Benutzer, deren Sitzungen auf diese Weise aufgehoben wurden, benötigen temporäre Anmeldeinformationen für eine neue Sitzung, um weiterarbeiten zu können. Die Anmeldeinformationen werden AWS CLI zwischengespeichert, bis sie ablaufen. Um zu erzwingen, zwischengespeicherte Anmeldeinformationen, die nicht mehr gültig sind, CLI zu löschen und zu aktualisieren, führen Sie einen der folgenden Befehle aus:

Linux, macOS oder Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

Widerrufen von Sitzungsberechtigungen vor einem bestimmten Zeitpunkt

Sie können Sitzungsberechtigungen auch jederzeit Ihrer Wahl widerrufen, indem Sie das AWS CLI oder verwendenSDK, um im Condition-Element einer Richtlinie einen Wert für den aws: TokenIssueTime Schlüssel anzugeben.

Diese Richtlinie verweigert alle Berechtigungen, wenn der Wert von aws:TokenIssueTime vor dem angegebenen Datum und der angegebenen Uhrzeit liegt. Der Wert von aws:TokenIssueTime entspricht der präzisen Uhrzeit, zu der die temporären Sicherheitsanmeldeinformationen erstellt wurden. Der aws:TokenIssueTime Wert ist nur im Kontext von AWS Anfragen vorhanden, die mit temporären Sicherheitsanmeldedaten signiert wurden. Daher wirkt sich die Deny-Anweisung in der Richtlinie nicht auf Anfragen aus, die mit den langfristigen Anmeldeinformationen des IAM Benutzers signiert wurden.

Diese Richtlinie kann auch einer Rolle zugeordnet werden. In diesem Fall wirkt sich die Richtlinie nur auf die temporären Sicherheitsanmeldeinformationen aus, die vor dem angegebenen Datum und der angegebenen Uhrzeit von der Rolle erstellt wurden.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}

Gültige Benutzer, deren Sitzungen auf diese Weise aufgehoben wurden, benötigen temporäre Anmeldeinformationen für eine neue Sitzung, um weiterarbeiten zu können. Die Anmeldeinformationen werden AWS CLI zwischengespeichert, bis sie ablaufen. Um zu erzwingen, zwischengespeicherte Anmeldeinformationen, die nicht mehr gültig sind, CLI zu löschen und zu aktualisieren, führen Sie einen der folgenden Befehle aus:

Linux, macOS oder Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache