Revocare le credenziali di sicurezza temporanee per i ruoli IAM - AWS Identity and Access Management
Autorizzazioni minime per revocare le autorizzazioni di sessione da un ruoloRevoca delle autorizzazioni di sessioneRevoca delle autorizzazioni di sessione prima di un orario specificato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Revocare le credenziali di sicurezza temporanee per i ruoli IAM

avvertimento

Se segui i passaggi in questa pagina, a tutti gli utenti con sessioni correnti create assumendo il ruolo viene negato l'accesso a tutte le AWS azioni e le risorse. Questo può causare la perdita di dati non salvati da parte degli utenti.

Quando consenti agli utenti di accedere a sessioni AWS Management Console con una durata di sessione lunga (ad esempio 12 ore), le loro credenziali temporanee non scadono così rapidamente. Se gli utenti espongono inavvertitamente le proprie credenziali a una terza parte non autorizzata, tale parte ha accesso per la durata della sessione. Tuttavia, è possibile revocare immediatamente tutte le autorizzazioni per le credenziali del ruolo rilasciate prima di un certo periodo di tempo, se necessario. Tutte le credenziali temporanee per quel ruolo emesse prima del momento specificata diventano non valide. Questo costringe tutti gli utenti a ripetere l'autenticazione e a richiedere nuove credenziali.

Nota

Non è possibile revocare la sessione per un ruolo collegato ai servizi.

Quando si revocano le autorizzazioni per un ruolo utilizzando la procedura AWS riportata in questo argomento, al ruolo viene associata una nuova politica in linea che nega tutte le autorizzazioni a tutte le azioni. Include una condizione che applica le restrizioni solo se l'utente ha assunto il ruolo prima del momento in cui sono state revocate le autorizzazioni. Se l'utente assume il ruolo dopo la revoca delle autorizzazioni, la policy di rifiuto non si applica a quell'utente.

Per ulteriori informazioni sulla negazione dell'accesso, consulta Disabilitazione delle autorizzazioni per le credenziali di sicurezza temporanee.

Importante

La policy di rifiuto si applica a tutti gli utenti con il ruolo specificato, non solo a quelli con sessioni della console di durata più lunga.

Autorizzazioni minime per revocare le autorizzazioni di sessione da un ruolo

Per revocare le autorizzazioni di sessione da un ruolo, è necessario disporre dell'autorizzazione PutRolePolicy per il ruolo. In questo modo è possibile collegare la policy inline AWSRevokeOlderSessions al ruolo.

Revoca delle autorizzazioni di sessione

Puoi revocare le autorizzazioni della sessione da un ruolo per negare tutte le autorizzazioni a tutti gli utenti che hanno assunto il ruolo.

Nota

Non è possibile modificare i ruoli in IAM creati dai set di autorizzazioni del Centro identità IAM. È necessario revocare la sessione attiva del set di autorizzazioni per un utente nel Centro identità IAM. Per ulteriori informazioni, consulta Revocare le sessioni attive di un ruolo IAM create dai set di autorizzazioni nella Guida per l'utente del Centro identità IAM.

Per rifiutare immediatamente tutte le autorizzazioni a qualsiasi utente corrente con credenziali del ruolo

  1. Accedi e apri la console IAM all'indirizzo. AWS Management Console https://console.aws.amazon.com/iam/

  2. Nel pannello di navigazione scegli Ruoli, quindi seleziona il nome (non la casella di controllo) del ruolo per cui desideri revocare le autorizzazioni.

  3. Nella pagina Summary (Riepilogo) per il ruolo selezionato, selezionare la scheda Revoke sessions (Revoca sessioni).

  4. Nelle scheda Revoke sessions (Revoca sessioni) selezionare Revoke active sessions (Revoca sessioni attive).

  5. AWS ti chiede di confermare l'azione. Seleziona la casella di controllo Riconosco che sto revocando tutte le sessioni attive per questo ruolo. e scegli Revoca le sessioni attive nella finestra di dialogo.

    IAM quindi collega al ruolo una policy denominata AWSRevokeOlderSessions. Dopo aver scelto Revoca sessioni attive, la policy rifiuta l'accesso a tutti gli utenti che hanno assunto il ruolo in passato e per circa 30 secondi nel futuro. Questa scelta temporale futura tiene conto del ritardo di propagazione della policy per gestire una nuova sessione acquisita o rinnovata prima che la policy aggiornata entrasse in vigore in una determinata regione. Gli utenti che assumono il ruolo più di 30 secondi dopo aver selezionato Revoca sessioni attive non saranno interessati. Per scoprire perché le modifiche non sono sempre immediatamente visibili, consulta Le modifiche che apporto non sono sempre immediatamente visibili.

Nota

Se scegli nuovamente Revoca sessioni in un secondo momento, l'indicatore di data e timestamp della policy viene aggiornato e nega nuovamente tutte le autorizzazioni a qualsiasi utente che ha assunto il ruolo prima della nuova ora specificata.

Gli utenti validi le cui sessioni sono revocate in questo modo devono acquisire credenziali provvisorie per una nuova sessione per continuare a lavorare. Le credenziali vengono memorizzate nella AWS CLI cache fino alla loro scadenza. Per forzare la CLI a eliminare e aggiornare le credenziali memorizzate nella cache che non sono più valide, eseguire uno dei seguenti comandi:

Linux, macOS o Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache

Revoca delle autorizzazioni di sessione prima di un orario specificato

Puoi anche revocare le autorizzazioni di sessione in qualsiasi momento a tua scelta utilizzando AWS CLI o l'SDK per specificare un valore per la aws:TokenIssueTime chiave nell'elemento Condition di una politica.

Questa policy nega tutte le autorizzazioni, quando il valore di aws:TokenIssueTime è precedente alla data e ora specificate. Il valore di aws:TokenIssueTime corrisponde al momento in cui sono state create le credenziali di sicurezza provvisorie. Il aws:TokenIssueTime valore è presente solo nel contesto delle AWS richieste firmate con credenziali di sicurezza temporanee, pertanto l'istruzione Deny nella policy non influisce sulle richieste firmate con le credenziali a lungo termine dell'utente IAM.

Questa policy può essere collegata a un ruolo. In questo caso, la policy influisce solo sulle credenziali di sicurezza provvisorie create da tale ruolo prima della data e ora specificate.

JSON
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}

Gli utenti validi le cui sessioni sono revocate in questo modo devono acquisire credenziali provvisorie per una nuova sessione per continuare a lavorare. Le credenziali vengono memorizzate AWS CLI nella cache fino alla loro scadenza. Per forzare la CLI a eliminare e aggiornare le credenziali memorizzate nella cache che non sono più valide, eseguire uno dei seguenti comandi:

Linux, macOS o Unix

$ rm -r ~/.aws/cli/cache

Windows

C:\> del /s /q %UserProfile%\.aws\cli\cache