AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

撤销 IAM 角色临时安全凭证

警告

如果您执行此页面上的步骤,则通过代入角色创建的具有当前会话的所有用户对所有 AWS 操作和资源的访问将被拒绝。这会导致用户丢失未保存的工作。

在允许用户访问具有较长的会话持续时间 (例如 12 小时) 的 AWS 管理控制台时,用户的临时凭证不会很快过期。如果用户无意中向未授权的第三方公开其凭证,则第三方在会话的持续时间内将具有访问权限。不过,如果需要,可以撤销对某个特定时间点之前发布的角色凭证的所有权限。指定时间之前发布的该角色的所有临时凭证将变得无效。这将迫使所有用户重新进行身份验证并请求新的凭证。

注意

您无法撤销服务相关角色对会话的权限。

在使用本主题中的过程撤销角色的权限时,AWS 会向角色附加新的内联策略来拒绝对所有操作的所有权限。它包括仅当用户在撤销权限时的某个时间点之前 代入角色的情况下应用限制的情况。如果用户在您撤销权限之后 代入角色,则拒绝策略不适用于该用户。

重要

此拒绝策略适用于指定角色的所有用户,而不只是适用于具有持续时间更长的控制台会话的用户。

从角色撤销会话权限所需的最低权限

要从角色成功撤销会话权限,您必须具有该角色的 AttachRolePolicy 权限。这将允许您向角色添加 AWSRevokeOlderSessions 策略。

撤销会话权限

要从角色撤销会话权限,请执行以下步骤:

立即拒绝对角色凭证的任何当前用户的所有权限

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. IAM Dashboard 的导航窗格中,选择 Roles,然后选择要撤消其权限的角色的名称(而不是复选框)。

  3. 在所选角色的 Summary 页面上,选择 Revoke sessions 选项卡。

  4. Revoke sessions 选项卡上,选择 Revoke active sessions

  5. AWS 要求您确认此操作。在对话框上选择 Revoke active sessions

    IAM 立即将名为 AWSRevokeOlderSessions 的策略附加到角色。此策略拒绝对在您选择 Revoke active sessions 之前代入角色的用户的所有访问。任何在您选择 Revoke active sessions 之后代入角色的用户受影响。

    重要

    在更新现有策略权限时或在向用户或资源应用新策略时,可能需要几分钟时间,策略更新才能生效。

注意

不必担心要记住删除策略。任何在您撤销权限之后 代入角色的用户不会受策略的影响。如果您稍后再次选择 Revoke Sessions,则将刷新策略中的日期/时间戳,并且将再次拒绝对在新的指定时间之前代入角色的任何用户的所有权限。

以这种方式调用会话的有效用户必须获得临时凭证,新会话才能继续工作。请注意,在证书过期前,AWS CLI 会缓存证书。要强制 CLI 删除并刷新已失效的缓存证书,请运行以下命令之一:

Linux、macOS 或 Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

有关更多信息,请参阅 禁用临时安全凭证的权限