As chaves de acesso IAM são giradas para manter as contas seguras. Se a chave de acesso for acidentalmente exposta a qualquer estranho, existe o risco de acesso inautêntico à conta de usuário do IAM com a qual a chave de acesso está associada. Quando as chaves de acesso e acesso secreto continuam mudando e girando, as chances de acesso não autêntico diminuem. Portanto, girar as teclas de acesso é uma prática recomendada para todas as empresas usando serviços da Web da Amazon e contas de usuário do IAM.
O artigo explicará o método de girar as teclas de acesso de um usuário do IAM em detalhes.
Como girar as chaves de acesso?
Para girar as teclas de acesso de um usuário do IAM, o usuário deve ter instalado a AWS CLI antes de iniciar o processo.
Faça login no console da AWS e vá para o serviço IAM da AWS e depois crie um novo usuário do IAM no console da AWS. Nomeie o usuário e permita o acesso programático ao usuário.
Anexe as políticas existentes e conceda à permissão de acesso ao administrador ao usuário.
Dessa forma, o usuário do IAM é criado. Quando o usuário do IAM é criado, o usuário pode visualizar suas credenciais. A chave de acesso também pode ser vista mais tarde a qualquer momento, mas a chave de acesso secreto é exibida como uma senha única. O usuário não pode visualizá -lo mais de uma vez.
Configure a AWS CLI
Configure a AWS CLI para executar comandos para girar as teclas de acesso. O usuário primeiro precisa configurar usando as credenciais do perfil ou o usuário do IAM acabou de criar. Para configurar, digite o comando:
AWS Configure -Profile UserAdmin
Copie as credenciais da interface do usuário da AWS IAM e coloque -as na CLI.
Digite a região em que o usuário do IAM foi criado e, em seguida, um formato de saída válido.
Crie outro usuário do IAM
Crie outro usuário da mesma maneira que o anterior, com a única diferença que ele não tem nenhuma permissões concedidas.
Nomeie o usuário do IAM e marque o tipo de credencial como acesso programático.
Este é o usuário do IAM, cuja chave de acesso está prestes a girar. Nomeamos o usuário "UserDemo".
Configure o segundo usuário do IAM
Digite ou cole as credenciais do segundo usuário do IAM na CLI da mesma maneira que o primeiro usuário.
Execute os comandos
Ambos os usuários do IAM foram configurados através da AWS CLI. Agora, o usuário pode executar os comandos necessários para girar as teclas de acesso. Digite o comando para visualizar a chave de acesso e o status do UserDemo:
AWS IAM LIST-ACCESS-KEYS-UserDemo-UserDemo-Profile UserAdmin
Um único usuário do IAM pode ter até duas chaves de acesso. O usuário que criamos teve uma única chave, para que possamos criar outra chave para o usuário do IAM. Digite o comando:
AWS IAM CREATE-ACCESS-KEY-UserDemo-UserDemo --Prafile UserAdmin
Isso criará uma nova chave de acesso para o usuário do IAM e exibirá sua chave de acesso secreto.
Salve a chave de acesso secreto associada ao usuário do IAM recém-criado em algum lugar do sistema, porque a chave de segurança é uma senha única, seja exibida no console da AWS ou na interface da linha de comando.
Para confirmar a criação da segunda chave de acesso para o usuário do IAM. Digite o comando:
AWS IAM LIST-ACCESS-KEYS-UserDemo-UserDemo-Profile UserAdmin
Isso exibirá as duas credenciais associadas ao usuário do IAM. Para confirmar no console da AWS, vá para as "credenciais de segurança" do usuário do IAM e veja a chave de acesso recém -criada para o mesmo usuário do IAM.
Na interface do usuário do AWS IAM, existem teclas de acesso antigas e recém -criadas.
O segundo usuário eu.e., "UserDemo" não recebeu nenhuma permissões. Então, primeiro, as permissões de acesso do Grant S3 para permitir o acesso ao usuário à lista de baldes S3 associada e clique no botão "Adicionar permissões".
Selecione as políticas de anexo diretamente e procure e selecione a permissão “Amazonfullaccess” e marque -a para conceder a este usuário do IAM a permissão para acessar o balde S3.
Dessa forma, a permissão é concedida a um usuário do IAM já criado.
Veja a lista de baldes S3 associada ao usuário do IAM digitando o comando:
AWS S3 LS -Profile UserDemo
Agora, o usuário pode girar as teclas de acesso do usuário do IAM. Para isso, são necessárias chaves de acesso. Digite o comando:
AWS IAM LIST-ACCESS-KEYS-UserDemo-UserDemo-Profile UserAdmin
Faça da antiga chave de acesso "inativa" copiando a chave de acesso antiga do usuário do IAM e colando no comando:
AWS IAM UPDATE-ACCESS-TELHA-ACCESS-ID-ID AKIAZVESEASBVNKBRFM2-STATUS INACTIVO-UserDemo-UserDemo --Prafile UserAdmin
Para confirmar se o status principal foi definido como inativo ou não, digite o comando:
AWS IAM LIST-ACCESS-KEYS-UserDemo-UserDemo-Profile UserAdmin
Digite o comando:
AWS Configure -Profile UserDemo
A chave de acesso que está pedindo é a que está inativa. Então, precisamos configurá -lo com a segunda chave de acesso agora.
Copie as credenciais armazenadas no sistema.
Cole as credenciais na CLI da AWS para configurar o usuário do IAM com novas credenciais.
A lista de baldes S3 confirma que o usuário do IAM foi configurado com sucesso com uma chave de acesso ativa. Digite o comando:
AWS S3 LS -Profile UserDemo
Agora, o usuário pode excluir a chave inativa, pois o usuário do IAM recebeu uma nova chave. Para excluir a chave de acesso antiga, digite o comando:
AWS IAM DELETE-ACCESS-TELHA-ACCESS-ID-ID AKIAZVESEASBVNKBRFM2-UserDemo-UserDemo --Profile UserAdmin
Para confirmar a exclusão, escreva o comando:
AWS IAM LIST-ACCESS-KEYS-UserDemo-UserDemo-Profile UserAdmin
A saída mostra que restam apenas uma chave.
Finalmente, a chave de acesso foi girada com sucesso. O usuário pode visualizar a nova chave de acesso na interface da AWS IAM. Haverá uma única chave com um ID -chave que atribuímos substituindo o anterior.
Este foi um processo completo de girar as chaves de acesso ao usuário do IAM.
Conclusão
As chaves de acesso são giradas para manter a segurança de uma organização. O processo de girar as chaves de acesso envolve a criação de um usuário do IAM com acesso administrador e outro usuário do IAM que pode ser acessado pelo primeiro usuário do IAM com acesso ao administrador. O segundo usuário do IAM recebe uma nova chave de acesso através da AWS CLI, e a mais antiga é excluída depois de configurar o usuário com uma segunda chave de acesso. Após a rotação, a chave de acesso do usuário do IAM não é a mesma de antes da rotação.