Temporäre Sicherheitsanmeldeinformationen der IAM-Rolle widerrufen
Warnung
Wenn Sie die Schritte auf dieser Seite durchführen, wird allen Benutzern mit aktuellen Sitzungen, die durch Übernehmen der Rolle erstellt wurden, der Zugriff auf alle AWS-Aktionen und -Ressourcen entzogen. Dies kann dazu führen, dass Benutzer nicht gespeicherte Arbeit verlieren.
Wenn Sie den Benutzern den Zugriff auf die AWS Management Console mit einer langen Sitzungsdauer (z. B. 12 Stunden) erlauben, laufen ihre temporären Anmeldeinformationen nicht so schnell ab. Wenn Benutzer versehentlich ihre Anmeldeinformationen nicht autorisierten Dritten preisgeben, haben diese für die Dauer der Sitzung entsprechenden Zugriff. Sie können jedoch sofort alle Berechtigungen für die Anmeldeinformationen der Rolle widerrufen, die vor einem bestimmten Zeitpunkt ausgestellt wurden, wenn dies erforderlich ist. Alle temporären Anmeldeinformationen für diese Rolle, die vor dem angegebenen Zeitpunkt ausgestellt wurden, werden ungültig. Dies zwingt alle Benutzer, sich erneut zu authentifizieren und neue Anmeldeinformationen anfordern.
Anmerkung
Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.
Wenn Sie Berechtigungen für eine Rolle mithilfe des in diesem Thema erklärten Verfahrens widerrufen, fügt AWS an die Rolle eine neue Inlinerichtlinie an, die sämtliche Berechtigungen für alle Aktionen verweigert. Sie enthält eine Bedingung, die die Einschränkungen nur dann anwendet, wenn der Benutzer die Rolle vor dem Zeitpunkt übernommen hat, zu dem Sie die Berechtigungen widerrufen. Wenn der Benutzer die Rolle übernimmt, nachdem Sie die Berechtigungen entzogen haben, dann gilt die Zugriffsverweigerungsrichtlinie nicht für diesen Benutzer.
Weitere Informationen zum Verweigern des Zugriffs finden Sie unter Deaktivieren von Berechtigungen für temporäre Sicherheitsanmeldeinformationen.
Wichtig
Diese Zugriffsverweigerungsrichtlinie gilt für alle Benutzer der angegebenen Rolle, nicht nur für diejenigen mit Konsolensitzungen mit längerer Dauer.
Mindestberechtigungen für das Entziehen von Sitzungsberechtigungen einer Rolle
Um einer Rolle Sitzungsberechtigungen erfolgreich zu entziehen, müssen Sie über die PutRolePolicy
-Berechtigung für die Rolle verfügen. Auf diese Weise können Sie der Rolle die Inline-Richtlinie AWSRevokeOlderSessions
anfügen.
Widerrufen von Sitzungsberechtigungen
Sie können die Sitzungsberechtigungen einer Rolle widerrufen, um jedem Benutzer, der die Rolle übernommen hat, sämtliche Berechtigungen zu verweigern.
Anmerkung
Sie können in IAM keine Rollen bearbeiten, die aus Berechtigungssätzen des IAM Identity Center erstellt wurden. Sie müssen die aktive Berechtigungssatz-Sitzung für einen Benutzer im IAM Identity Center widerrufen. Weitere Informationen finden Sie unter Widerrufen aktiver IAM-Rollensitzungen, die durch Berechtigungssätze erstellt wurden im Benutzerhandbuch zum IAM Identity Center.
So verweigern Sie sofort sämtliche Berechtigungen für alle aktuellen Benutzer der Anmeldeinformationen der Rolle
Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich Rollen und anschließend den Namen (nicht das Kontrollkästchen) der Rolle aus, deren Berechtigungen Sie widerrufen möchten.
-
Klicken Sie auf der Seite Summary (Übersicht) für die ausgewählte Rolle auf die Registerkarte Revoke sessions (Sitzungen widerrufen).
-
Wählen Sie auf der Registerkarte Revoke sessions (Sitzungen widerrufen) die Option Revoke active sessions (Aktive Sitzungen widerrufen).
-
AWS fordert Sie auf, den Vorgang zu bestätigen. Aktivieren Sie das Kontrollkästchen Ich bestätige, dass ich alle aktiven Sitzungen für diese Rolle widerrufe. und wählen Sie im Dialogfeld Aktive Sitzungen widerrufen aus.
IAM fügt der Rolle dann eine Richtlinie mit dem Namen
AWSRevokeOlderSessions
hinzu. Wenn Sie Aktive Sitzungen widerrufen auswählen, verweigert die Richtlinie allen Benutzern, die die Rolle in der Vergangenheit sowie etwa 30 Sekunden in der Zukunft übernommen haben, den Zugriff. Diese zukünftige Zeitwahl berücksichtigt die Verzögerung bei der Umsetzung der Richtlinie, um eine neue Sitzung zu bearbeiten, die vor Inkrafttreten der aktualisierten Richtlinie in einer bestimmten Region erworben oder erneuert wurde. Benutzer, die die Rolle mehr als ca. 30 Sekunden nach der Auswahl von „Aktive Sitzungen widerrufen“ übernehmen, sind hiervon nicht betroffen. Um zu erfahren, warum Änderungen nicht immer sofort sichtbar sind, siehe Änderungen, die ich vornehme, sind nicht immer direkt sichtbar.
Anmerkung
Wenn Sie später erneut die Option Aktive Sitzungen widerrufen auswählen, wird der Datums- und Zeitstempel in der Richtlinie aktualisiert und alle Berechtigungen für Benutzer, die die Rolle vor der neu angegebenen Zeit übernommen haben, werden erneut verweigert.
Gültige Benutzer, deren Sitzungen auf diese Weise aufgehoben wurden, benötigen temporäre Anmeldeinformationen für eine neue Sitzung, um weiterarbeiten zu können. Die AWS CLI speichert Anmeldeinformationen, bis sie ablaufen. Um die CLI zu zwingen, zwischengespeicherte Anmeldeinformationen, die nicht mehr gültig sind, zu löschen und zu aktualisieren, führen Sie einen der folgenden Befehle aus:
Linux, macOS oder Unix
$
rm -r ~/.aws/cli/cache
Windows
C:\>
del /s /q %UserProfile%\.aws\cli\cache
Widerrufen von Sitzungsberechtigungen vor einem bestimmten Zeitpunkt
Sie können Sitzungsberechtigungen auch jederzeit widerrufen, indem Sie über die AWS CLI oder das SDK einen Wert für den aws:TokenIssueTime
-Schlüssel im Element „Bedingung“ einer Richtlinie angeben.
Diese Richtlinie verweigert alle Berechtigungen, wenn der Wert von aws:TokenIssueTime
vor dem angegebenen Datum und der angegebenen Uhrzeit liegt. Der Wert von aws:TokenIssueTime
entspricht der präzisen Uhrzeit, zu der die temporären Sicherheitsanmeldeinformationen erstellt wurden. Der aws:TokenIssueTime
-Wert ist nur im Kontext von AWS-Anfragen vorhanden, die mit temporären Sicherheitsanmeldeinformationen signiert sind. Daher hat die „Verweigern“-Anweisung in der Richtlinie keine Auswirkungen auf Anforderungen, die mit den langfristigen Anmeldeinformationen des IAM-Benutzers signiert sind.
Diese Richtlinie kann auch einer Rolle zugeordnet werden. In diesem Fall wirkt sich die Richtlinie nur auf die temporären Sicherheitsanmeldeinformationen aus, die vor dem angegebenen Datum und der angegebenen Uhrzeit von der Rolle erstellt wurden.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"} } } }
Gültige Benutzer, deren Sitzungen auf diese Weise aufgehoben wurden, benötigen temporäre Anmeldeinformationen für eine neue Sitzung, um weiterarbeiten zu können. Die AWS CLI speichert Anmeldeinformationen, bis sie ablaufen. Um die CLI zu zwingen, zwischengespeicherte Anmeldeinformationen, die nicht mehr gültig sind, zu löschen und zu aktualisieren, führen Sie einen der folgenden Befehle aus:
Linux, macOS oder Unix
$
rm -r ~/.aws/cli/cache
Windows
C:\>
del /s /q %UserProfile%\.aws\cli\cache