Revogar as credenciais de segurança temporárias do perfil do IAM - AWS Identity and Access Management
Permissões mínimas para revogar as permissões de sessão de uma funçãoRevogar permissões de uma sessãoRevogar as permissões da sessão antes de uma hora especificada

Revogar as credenciais de segurança temporárias do perfil do IAM

Atenção

Se você seguir as etapas nesta página, todos os usuários com sessões atuais criadas ao assumiram a função terão o acesso negado a todas as ações e recursos da AWS. Como resultado, os usuários poderão perder trabalho não salvo.

Ao permitir que os usuários acessem o AWS Management Console com um tempo de duração de sessão longo (como 12 horas), suas respectivas credenciais temporárias não expiram com tanta rapidez. Se os usuários expuserem inadvertidamente suas credenciais a um terceiro não autorizado, este terá acesso durante toda a sessão. No entanto, se necessário, você poderá revogar imediatamente todas as permissões para as credenciais da função emitidas antes de um determinado momento. Todas as credenciais temporárias para essa função emitidas antes do tempo especificado se tornam inválidas. Isso força todos os usuários a refazerem a autenticação e solicitar novas credenciais.

nota

Você não pode revogar a sessão para uma função vinculada a serviço.

Quando você revoga permissões para uma função usando o procedimento neste tópico, a AWS anexa uma nova política em linha à função que nega todas as permissões para todas as ações. Ele incluirá uma condição aplicável às restrições somente se o usuário tiver assumido a função antes do momento em que você revogar as permissões. Se o usuário assumir a função depois que você revogar as permissões, a política de negação não se aplicará a esse usuário.

Para obter mais informações sobre acesso negado, consulte Desabilitar permissões de credenciais de segurança temporárias.

Importante

Essa política de negação se aplica a todos os usuários da função especificada, não apenas às sessões do console com maior duração.

Permissões mínimas para revogar as permissões de sessão de uma função

Para revogar permissões de sessão de uma função com êxito, você deve ter a permissão PutRolePolicy para a função. Isso permite que você anexe a política em linha AWSRevokeOlderSessions à função.

Revogar permissões de uma sessão

Você pode revogar as permissões de sessão de um perfil para negar todas as permissões de qualquer usuário que tenha assumido esse perfil.

nota

Não é possível editar perfis no IAM que foram criados a partir de conjuntos de permissões do Centro de Identidade do IAM. É necessário revogar a sessão ativa do conjunto de permissões de um usuário no Centro de Identidade do IAM. Para obter mais informações, consulte Revogar sessões ativas de perfil do IAM criadas por conjuntos de permissões, no Guia do usuário do Centro de Identidade do IAM.

Para negar imediatamente todas as permissões para qualquer usuário atual de credenciais de função

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Perfis e selecione o nome (não a caixa de seleção) da função cujas permissões você deseja revogar.

  3. Na página Resumo para a função selecionada, escolha a guia Revogar sessões.

  4. Na guia Revogar sessões, selecione Revogar sessões ativas.

  5. A AWS pede que você confirme a ação. Marque a caixa de seleção Confirmo que estou revogando todas as sessões ativas para essa função e escolha Revogar sessões ativas.

    O IAM então anexa uma política chamada AWSRevokeOlderSessions ao perfil. Depois de escolher Revogar sessões ativas, a política nega todo o acesso aos usuários que assumiram o perfil no passado, bem como em aproximadamente 30 segundos no futuro. Essa escolha de horário futuro leva em consideração o atraso de propagação da política para lidar com uma nova sessão que foi adquirida ou renovada antes que a política atualizada entrasse em vigor em uma determinada região. Os usuários que assumirem o perfil em mais de aproximadamente 30 segundos após você escolher a opção Revogar sessões ativas não serão afetados. Para saber por que as mudanças nem sempre são imediatamente visíveis, consulte As alterações que eu faço nem sempre ficam imediatamente visíveis.

nota

Se, posteriormente, você escolher Revogar sessões ativas novamente, a marca de data e hora da política será atualizada e ela voltará a negar todas as permissões a todos os usuários que assumiram o perfil antes da nova hora especificada.

Os usuários válidos cujas sessões são revogadas dessa forma devem adquirir credenciais temporárias para uma nova sessão para continuar a trabalhar. A AWS CLI armazena em cache as credenciais até que elas expirem. Para forçar a CLI a excluir e atualizar credenciais de cache que não são mais válidas, execute um dos seguintes comandos:

Linux, macOS ou Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

Revogar as permissões da sessão antes de uma hora especificada

Também é possível revogar as permissões da sessão a qualquer momento usando a AWS CLI ou o SDK para especificar um valor para a chave aws:TokenIssueTime no elemento Condição de uma política.

Essa política nega todas as permissões quando o valor de aws:TokenIssueTime é anterior à data e hora especificadas. O valor do aws:TokenIssueTime corresponde ao tempo exato em que as credenciais de segurança temporárias foram criadas. O valor aws:TokenIssueTime está presente apenas no contexto de solicitações da AWS assinadas com credenciais de segurança temporárias. Portanto, a instrução Negar na política não afeta as solicitações assinadas com as credenciais de longo prazo do usuário do IAM.

Essa política também pode ser anexada a um perfil. Neste caso, a política afeta somente as credenciais de segurança temporárias que foram criadas pela função antes da data e hora especificadas.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}

Os usuários válidos cujas sessões são revogadas dessa forma devem adquirir credenciais temporárias para uma nova sessão para continuar a trabalhar. A AWS CLI armazena em cache as credenciais até que elas expirem. Para forçar a CLI a excluir e atualizar credenciais de cache que não são mais válidas, execute um dos seguintes comandos:

Linux, macOS ou Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache