選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

撤銷 IAM 角色臨時安全憑證

PDF
RSS
焦點模式
撤銷 IAM 角色臨時安全憑證 - AWS Identity and Access Management
從角色撤銷工作階段許可的最低許可撤銷工作階段許可在指定時間之前撤銷工作階段許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

警告

如果您依照此頁面上的步驟,所有具有透過擔任角色建立目前工作階段的使用者,會被拒絕存取所有 AWS 動作和資源。這會導致使用者遺失未儲存的工作。

當您允許使用者以長工作階段持續時間 (例如 12 小時) 存取 AWS Management Console,他們的暫時性憑證不會很快就到期。如果使用者不慎將他們的憑證向未經授權的第三方公開,該方在工作階段的持續時間均有權存取。不過,您可以立即撤銷所有在某個時間點前授予該角色的憑證許可,如果需要的話。該角色在指定時間點前發出的所有暫時性憑證變成無效。這會強迫所有使用者重新驗證和請求新的憑證。

注意

您無法撤銷服務連結角色的工作階段。

當您使用此主題中的程序撤銷角色的許可,AWS 會將新的內嵌政策連接到該角色,而該角色拒絕對所有動作的許可。如果使用者在您撤銷許可的時間點「之前」擔任該角色,則它只會包含套用限制條件的情況。如果使用者在撤銷許可「之後」擔任該角色,則拒絕政策不會套用至該使用者。

如需拒絕存取的詳細資訊,請參閱 停用臨時安全性憑證的許可

重要

此拒絕政策適用於指定角色的所有使用者,而不只是具主控台工作階段較長持續時間的角色。

從角色撤銷工作階段許可的最低許可

若要從角色成功地撤銷工作階段許可,您必須擁有該角色的 PutRolePolicy 許可。這可讓您將 AWSRevokeOlderSessions 內嵌政策連接至該角色。

撤銷工作階段許可

您可以從角色撤銷工作階段許可,以拒絕擔任該角色之任何使用者的所有許可。

注意

您無法在 IAM 中編輯從 IAM Identity Center 許可集建立的角色。您必須撤銷 IAM Identity Center 中使用者的作用中許可集工作階段。如需詳細資訊,請參閱 IAM Identity Center User Guide 中的 Revoke active IAM role sessions created by permission sets

立即拒絕對任何目前使用者的角色憑證的所有許可

  1. 簽署 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇角色,然後選擇您想要撤銷其許可的角色名稱 (不是核取方塊)。

  3. 在所選取角色的 Summary (摘要) 頁面上,選擇 Revoke sessions (工作階段) 標籤。

  4. Revoke sessions (撤銷工作階段) 標籤上,選擇 Revoke active sessions (撤銷作用中的工作階段)

  5. AWS 要求您確認動作。選取我確認我將撤銷此角色的所有作用中工作階段。核取方塊,然後在對話方塊中選擇撤銷作用中工作階段

    然後,IAM 將名為 AWSRevokeOlderSessions 的政策連接至角色。在您選擇撤銷作用中工作階段後,政策會拒絕過去以及未來約 30 秒內擔任該角色的使用者的所有存取權。此未來時間選擇考量政策的傳播延遲,以便處理在更新的政策在指定區域中生效之前取得或續約的新工作階段。在您選擇「撤銷作用中的工作階段」後,擔任該角色超過大約 30 秒的任何使用者都不會受影響。若要了解變更不一定會立即顯示的原因,請參閱 我所做的變更不一定都會立刻生效

注意

如果您稍後再次選擇撤銷工作階段,則會重新整理政策中的日期和時間戳記,而且它會再次拒絕在新指定的時間之前擔任該角色之任何使用者的許可。

以這種方式呼叫工作階段的有效使用者必須獲得臨時憑證,新工作階段才能繼續運作。在憑證過期前,AWS CLI 會快取憑證。若要強制 CLI 刪除並重新整理已失效的快取憑證,請執行以下命令之一:

Linux、macOS 或 Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

在指定時間之前撤銷工作階段許可

您也可以隨時使用 AWS CLI 或 SDK 來撤銷您選擇的工作階段許可,以在政策的 Condition 元素中指定 aws:TokenIssueTime 索引鍵的值。

aws:TokenIssueTime 的值早於指定的日期和時間時,此政策會拒絕所有許可。aws:TokenIssueTime 的值對應於臨時安全性憑證的確切建立時間。aws:TokenIssueTime 值僅存在於使用暫時安全憑證簽署的 AWS 請求內容中,因此,該政策中的拒絕陳述式不會影響使用該 IAM 使用者長期憑證所簽署的請求。

此政策也可連接至角色。在這種情況下,該政策只會影響由該角色在指定日期和時間之前建立的臨時安全性憑證。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}

以這種方式呼叫工作階段的有效使用者必須獲得臨時憑證,新工作階段才能繼續運作。在憑證過期前,AWS CLI 會快取憑證。若要強制 CLI 刪除並重新整理已失效的快取憑證,請執行以下命令之一:

Linux、macOS 或 Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

在本頁面

Related resources

AWS Identity and Access Management API 參考
AWS CLI 的 命令 AWS Identity and Access Management
SDK 與工具 

Related resources

AWS Identity and Access Management API 參考
AWS CLI 的 命令 AWS Identity and Access Management
SDK 與工具 
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。