Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mencabut kredensi IAM keamanan sementara peran
Awas
Jika Anda mengikuti langkah-langkah di halaman ini, semua pengguna dengan sesi terkini yang dibuat dengan mengasumsikan peran tersebut aksesnya ditolak ke semua AWS tindakan dan sumber daya. Hal ini dapat mengakibatkan pengguna kehilangan pekerjaan yang belum disimpan.
Saat Anda mengizinkan pengguna untuk mengakses AWS Management Console dengan waktu durasi sesi yang panjang (seperti 12 jam), kredensi sementara mereka tidak akan kedaluwarsa secepat itu. Jika pengguna secara tidak sengaja memaparkan kredensi mereka ke pihak ketiga yang tidak berwenang, maka pihak tersebut memiliki akses selama durasi sesi. Namun, Anda dapat segera mencabut semua izin untuk kredensial peran yang diterbitkan sebelum waktu tertentu jika perlu. Semua kredensial sementara untuk peran tersebut yang diterbitkan sebelum waktu yang ditentukan menjadi tidak berlaku. Ini memaksa semua pengguna untuk mengotentikasi ulang dan meminta kredensi baru.
catatan
Anda tidak dapat mencabut sesi untuk peran yang terkait dengan layanan.
Saat Anda mencabut izin untuk peran dengan menggunakan prosedur dalam topik ini, AWS melampirkan kebijakan inline baru pada peran yang menolak semua izin ke semua tindakan. Ini mencakup sebuah syarat yang menerapkan pembatasan hanya jika pengguna mengasumsikan peran tersebut sebelum waktu saat Anda mencabut izin. Jika pengguna mengasumsikan peran tersebut setelah Anda mencabut izin, maka kebijakan penolakan tidak berlaku bagi pengguna tersebut.
Untuk informasi lebih lanjut tentang menolak akses, lihatMenonaktifkan izin untuk kredensial keamanan sementara.
penting
Kebijakan penolakan ini berlaku untuk semua pengguna peran yang ditentukan, bukan hanya untuk mereka yang memiliki sesi konsol durasi yang lebih lama.
Izin minimum untuk mencabut izin sesi dari peran
Untuk dapat berhasil mencabut izin sesi dari peran, Anda harus memiliki izin PutRolePolicy
untuk peran tersebut. Ini memungkinkan Anda untuk melampirkan kebijakan inline AWSRevokeOlderSessions
ke peran tersebut.
Mencabut izin sesi
Anda dapat mencabut izin sesi dari sebuah peran untuk menolak semua izin ke setiap pengguna yang mengasumsikan peran tersebut.
catatan
Anda tidak dapat mengedit peran IAM yang dibuat dari set izin Pusat IAM Identitas. Anda harus mencabut sesi set izin aktif untuk pengguna di Pusat IAM Identitas. Untuk informasi selengkapnya, lihat Cabut sesi IAM peran aktif yang dibuat oleh set izin di Panduan Pengguna Pusat IAM Identitas.
Untuk segera menolak semua izin untuk pengguna kredensial peran saat ini
Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, lalu pilih nama peran (bukan kotak centang) yang izinnya ingin Anda cabut.
-
Di halaman Ringkasan untuk peran yang dipilih, pilih tab Cabut sesi.
-
Di tab Cabut sesi, pilih Cabut sesi aktif.
-
AWS meminta Anda untuk mengonfirmasi tindakan. Pilih Saya mengakui bahwa saya mencabut semua sesi aktif untuk peran ini. kotak centang dan pilih Mencabut sesi aktif di kotak dialog.
IAMkemudian melampirkan kebijakan yang disebutkan
AWSRevokeOlderSessions
ke peran tersebut. Setelah Anda memilih Cabut sesi aktif, kebijakan menolak semua akses ke pengguna yang mengasumsikan peran tersebut di masa lalu serta sekitar 30 detik ke depan. Pilihan future time ini memperhitungkan penundaan propagasi kebijakan untuk menangani sesi baru yang diperoleh atau diperbarui sebelum kebijakan yang diperbarui berlaku di wilayah tertentu. Setiap pengguna yang mengasumsikan peran lebih dari 30 detik setelah Anda memilih Cabut sesi aktif tidak terdampak. Untuk mempelajari mengapa perubahan tidak selalu langsung terlihat, lihat Perubahan yang saya buat tidak selalu langsung terlihat.
catatan
Jika Anda memilih untuk Mencabut sesi aktif lagi nantinya, tanggal dan waktu yang tercantum dalam dalam kebijakan akan diperbarui dan itu menolak lagi semua izin ke setiap pengguna yang mengasumsikan peran tersebut sebelum waktu yang baru ditetapkan.
Pengguna valid yang sesinya dicabut dengan cara ini harus memperoleh kredensial sementara untuk sesi baru untuk melanjutkan bekerja. AWS CLI Cache kredensi cache hingga kedaluwarsa. Untuk memaksa menghapus dan menyegarkan kredenal yang tersimpan yang sudah tidak valid, jalankan salah satu perintah berikut: CLI
Linux, macOS, atau Unix
$
rm -r ~/.aws/cli/cache
Windows
C:\>
del /s /q %UserProfile%\.aws\cli\cache
Membatalkan izin sesi sebelum waktu yang ditentukan
Anda juga dapat mencabut izin sesi kapan saja sesuai pilihan Anda menggunakan AWS CLI atau SDK untuk menentukan nilai aws: TokenIssueTime
kunci dalam elemen Kondisi kebijakan.
Kebijakan menolak semua izin saat nilai lebih awal dari aws:TokenIssueTime
tanggal dan waktu yang ditentukan. Nilai dari aws:TokenIssueTime
sesuai dengan waktu yang tepat saat kredensial keamanan sementara dibuat. aws:TokenIssueTime
Nilai tersebut hanya ada dalam konteks AWS permintaan yang ditandatangani dengan kredensi keamanan sementara, sehingga pernyataan Deny dalam kebijakan ini tidak memengaruhi permintaan yang ditandatangani dengan kredensi jangka panjang pengguna. IAM
Kebijakan ini juga dapat dilampirkan pada sebuah peran. Dalam hal ini, kebijakan hanya memengaruhi kredensial keamanan sementara yang dibuat oleh peran sebelum tanggal dan waktu yang ditentukan.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"} } } }
Pengguna valid yang sesinya dicabut dengan cara ini harus memperoleh kredensial sementara untuk sesi baru untuk melanjutkan bekerja. AWS CLI Cache kredensi cache hingga kedaluwarsa. Untuk memaksa menghapus dan menyegarkan kredenal yang tersimpan yang sudah tidak valid, jalankan salah satu perintah berikut: CLI
Linux, macOS, atau Unix
$
rm -r ~/.aws/cli/cache
Windows
C:\>
del /s /q %UserProfile%\.aws\cli\cache