Révocation des informations d’identification de sécurité temporaires d’un rôle IAM
Avertissement
Si vous suivez les étapes indiquées sur cette page, l'accès à toutes les actions et les ressources AWS sera refusé à tous les utilisateurs dont les sessions actuelles ont été créées en endossant le rôle. Cela peut entraîner le risque pour les utilisateurs de perdre leur travail non sauvegardé.
Lorsque vous autorisez les utilisateurs à accéder à la AWS Management Console avec une session de longue durée (par exemple, 12 heures), leurs informations d'identification temporaires n'expirent pas aussi rapidement. Si les utilisateurs exposent par inadvertance leurs informations d'identification à un tiers non autorisé, celui-ci dispose d'un accès pendant la durée de la session. Cependant, vous pouvez révoquer immédiatement toutes les autorisations aux informations d'identification du rôle émises avant un moment donné, si nécessaire. Toutes les informations d'identification temporaires pour ce rôle qui ont été émises avant le moment spécifié deviennent non valides. Cela force tous les utilisateurs à s'authentifier de nouveau et demande de nouvelles informations d'identification.
Note
Vous ne pouvez pas révoquer la session d'un rôle lié à un service.
Lorsque vous révoquez les autorisations d'un rôle à l'aide de la procédure de cette rubrique, AWS associe au rôle une nouvelle politique en ligne qui rejette toutes les autorisations à toutes les actions. Il inclut une condition qui applique les restrictions uniquement si l'utilisateur a endossé le rôle avant le moment où vous avez révoqué les autorisations. Si l'utilisateur endosse le rôle après la révocation des autorisations, la politique de rejet ne s'applique pas à cet utilisateur.
Pour plus d'informations sur le refus d'accès, veuillez consulter la rubrique Désactivation des autorisations affectées aux informations d'identification de sécurité temporaires.
Important
Cette politique de rejet s'applique à tous les utilisateurs du rôle spécifié, pas seulement à ceux dont les sessions de console durent plus longtemps.
Autorisations minimales pour révoquer les autorisations de session d'un rôle
Pour révoquer les autorisations de session d'un rôle avec succès, vous devez disposer de l'autorisation PutRolePolicy
pour ce rôle. Cela vous permet d'attacher la politique en ligne AWSRevokeOlderSessions
au rôle.
Révocation des autorisations de session
Vous pouvez révoquer les autorisations de session d’un rôle afin de refuser toutes les autorisations à tout utilisateur qui a endossé le rôle.
Note
Vous ne pouvez pas modifier les rôles qui ont été créés dans IAM à partir des jeux de permissions d’IAM IAM Identity Center. Vous devez révoquer la session d’ensemble d’autorisations active pour un utilisateur dans IAM Identity Center. Pour plus d’informations, consultez Révocation des sessions de rôle IAM actives créées par des ensembles d’autorisations dans le Guide de l’utilisateur d’IAM Identity Center.
Pour refuser immédiatement toutes autorisations à tout utilisateur actuel des informations d'identification du rôle
Connectez-vous à l'outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, sélectionnez Rôles, puis le nom (pas la case à cocher) du rôle dont vous voulez révoquer les autorisations.
-
Sur la page Récapitulatif du rôle sélectionné, choisissez l'onglet Révoquer les sessions.
-
Dans l'onglet Révoquer les sessions, choisissez Révoquer les sessions actives.
-
AWS vous demande de confirmer l'action. Cochez la case Je reconnais que je révoque toutes les sessions actives pour ce rôle. et choisissez Révoquer les sessions actives dans la boîte de dialogue.
IAM attache ensuite une politique nommée
AWSRevokeOlderSessions
au rôle. Après avoir sélectionné Révoquer les sessions actives, la politique refuse tout accès aux utilisateurs qui ont assumé le rôle dans le passé ainsi qu’environ 30 secondes dans le futur. Ce choix du temps futur tient compte du délai de propagation de la politique afin de traiter une nouvelle session acquise ou renouvelée avant que la politique mise à jour ne soit en vigueur dans une région donnée. Tout utilisateur qui endosse le rôle plus de 30 secondes environ après que vous avez choisi Révoquer les sessions actives n’est pas affecté. Pour savoir pourquoi les modifications ne sont pas toujours visibles immédiatement, consultez la section Les modifications que j'apporte ne sont pas toujours visibles immédiatement.
Note
Si vous choisissez Révoquer les sessions actives ultérieurement, l’horodatage de la politique sera actualisé et elle refusera à nouveau toutes les autorisations à tout utilisateur ayant endossé le rôle avant la nouvelle heure spécifiée.
Les utilisateurs valides dont les sessions sont révoquées de cette manière doivent obtenir des informations d'identification temporaires pour qu'une nouvelle session continue de fonctionner. Le AWS CLI met en cache les informations d'identification jusqu'à leur expiration. Pour forcer la CLI à supprimer et actualiser les informations d'identification mises en cache qui ne sont plus valides, exécutez l'une des commandes suivantes :
Linux, macOS ou Unix
$
rm -r ~/.aws/cli/cache
Windows
C:\>
del /s /q %UserProfile%\.aws\cli\cache
Révocation des autorisations de session avant une heure spécifiée
Vous pouvez également révoquer les autorisations de session à tout moment de votre choix à l’aide de l’AWS CLI ou du kit SDK pour spécifier une valeur pour la clé aws:TokenIssueTime
dans l’élément Condition d’une politique.
Cette politique refuse toutes les autorisations lorsque la valeur de aws:TokenIssueTime
est antérieure aux date et heure spécifiées. La valeur de aws:TokenIssueTime
correspond à l'exacte à laquelle les informations d'identification de sécurité temporaires ont été créées. La valeur aws:TokenIssueTime
est uniquement présente dans le contexte de demandes AWS qui sont signées avec les informations d'identification de sécurité temporaires. L'instruction de refus dans la politique n'affecte pas les demandes signées avec les informations d'identification à long terme de l'utilisateur IAM.
Cette politique peut également être attachée à un rôle. Dans ce cas, la politique affecte uniquement les informations d'identification de sécurité temporaires créées par le rôle avant la date et l'heure spécifiées.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"} } } }
Les utilisateurs valides dont les sessions sont révoquées de cette manière doivent obtenir des informations d'identification temporaires pour qu'une nouvelle session continue de fonctionner. Le AWS CLI met en cache les informations d'identification jusqu'à leur expiration. Pour forcer la CLI à supprimer et actualiser les informations d'identification mises en cache qui ne sont plus valides, exécutez l'une des commandes suivantes :
Linux, macOS ou Unix
$
rm -r ~/.aws/cli/cache
Windows
C:\>
del /s /q %UserProfile%\.aws\cli\cache