AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

撤消 IAM 角色临时安全凭证

警告

如果您执行此页面上的步骤,则通过担任角色创建的具有当前会话的所有用户对所有 AWS 操作和资源的访问将被拒绝。这会导致用户丢失未保存的工作。

在允许用户访问具有较长的会话持续时间 (例如 12 小时) 的 AWS 管理控制台时,用户的临时凭证不会很快过期。如果用户无意中向未授权的第三方公开其凭证,则第三方在会话的持续时间内将具有访问权限。不过,如果需要,可以撤销对某个特定时间点之前发布的角色凭证的所有权限。指定时间之前发布的该角色的所有临时凭证将变得无效。这将迫使所有用户重新进行身份验证并请求新的凭证。

注意

您无法撤销服务相关角色对会话的权限。

在使用本主题中的过程撤消角色的权限时,AWS 会向角色附加新的内联策略来拒绝对所有操作的所有权限。它包括仅当用户在撤销权限时的某个时间点之前 代入角色的情况下应用限制的情况。如果用户在您撤销权限之后 代入角色,则拒绝策略不适用于该用户。

重要

此拒绝策略适用于指定角色的所有用户,而不只是适用于具有持续时间更长的控制台会话的用户。

从角色撤销会话权限所需的最低权限

要从角色成功撤消会话权限,您必须具有该角色的 PutRolePolicy 权限。

撤消会话权限

立即拒绝对角色凭证的任何当前用户的所有权限

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在所选角色的 Summary 页面上,选择 Revoke sessions 选项卡。

  3. Revoke sessions 选项卡上,选择 Revoke active sessions

  4. AWS 要求您确认此操作。在对话框上选择 Revoke active sessions

    此策略拒绝对在您选择 Revoke active sessions 之前代入角色的用户的所有访问。任何在您选择 Revoke active sessions 之后代入角色的用户受影响。

注意

不必担心要记住删除策略。任何在您撤消权限之后 代入角色的用户不会受策略的影响。如果您稍后再次选择 Revoke Sessions,则将刷新策略中的日期/时间戳,并且将再次拒绝对在新的指定时间之前代入角色的任何用户的所有权限。

以这种方式调用会话的有效用户必须获得临时凭证,新会话才能继续工作。请注意,在凭证过期前,AWS CLI 会缓存凭证。要强制 CLI 删除并刷新已失效的缓存证书,请运行以下命令之一:

Linux、macOS 或 Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

有关更多信息,请参阅禁用临时安全凭证的权限