Jak obracać klucze dostępu w AWS

Jak obracać klucze dostępu w AWS

Klawisze dostępu IAM są obracane, aby zapewnić bezpieczeństwo kont. Jeśli klucz dostępu jest przypadkowo narażony na dowolnego z zewnątrz, istnieje ryzyko nieautencyjnego dostępu do konta użytkownika IAM, z którym jest powiązany klucz dostępu. Gdy klucze dostępu i tajnego dostępu wciąż zmieniają się i obracają, szanse na nieautentyczny dostęp. Tak więc rotacja klawiszy dostępu jest praktyką zalecaną dla wszystkich firm korzystających z usług Amazon Web i konta użytkowników IAM.

W artykule szczegółowo wyjaśni metodę obracania kluczy dostępu użytkownika IAM.

Jak obracać klucze dostępu?

Aby obrócić klucze dostępu użytkownika IAM, użytkownik musi zainstalować AWS CLI przed rozpoczęciem procesu.

Zaloguj się do konsoli AWS i przejdź do usługi IAM AWS, a następnie utwórz nowego użytkownika IAM w konsoli AWS. Nazwij użytkownika i umożliwić programowy dostęp do użytkownika.

Załącz istniejące zasady i udzielić użytkownikowi uprawnień do dostępu administratora.

W ten sposób utworzony jest użytkownik IAM. Po utworzeniu użytkownika IAM użytkownik może wyświetlić swoje poświadczenia. Klucz dostępu może być również wyświetlany później w dowolnym momencie, ale tajny klawisz dostępu jest wyświetlany jako hasło jednorazowe. Użytkownik nie może go wyświetlić więcej niż raz.

Skonfiguruj AWS CLI

Skonfiguruj AWS CLI do wykonywania poleceń w celu obracania klawiszy dostępu. Użytkownik najpierw musi skonfigurować przy użyciu poświadczeń profilu lub właśnie utworzonego użytkownika IAM. Aby skonfigurować, wpisz polecenie:

AWS Configure -Profile UserAdmin

Skopiuj poświadczenia z interfejsu użytkownika AWS IAM i wklej je w CLI.

Wpisz region, w którym utworzono użytkownika IAM, a następnie prawidłowy format wyjściowy.

Utwórz innego użytkownika IAM

Utwórz innego użytkownika w taki sam sposób, jak poprzedni, z jedyną różnicą jest to, że nie ma on żadnych uprawnień.

Nazwij użytkownik IAM i zaznacz typ poświadczenia jako dostęp programowy.

To jest użytkownik IAM, którego klucz dostępu ma się obrócić. Nazwaliśmy użytkownika „użytkownik”.

Skonfiguruj drugiego użytkownika IAM

Wpisz lub wklej poświadczenia drugiego użytkownika IAM w CLI w taki sam sposób, jak pierwszy użytkownik.

Wykonaj polecenia

Obaj użytkownicy IAM zostali skonfigurowani za pomocą AWS CLI. Teraz użytkownik może wykonywać polecenia wymagane do obrócenia kluczy dostępu. Wpisz polecenie, aby wyświetlić klucz dostępu i status użytkownika:

AWS IAM List-Access-Keys-UserDemo użytkownika

Pojedynczy użytkownik IAM może mieć maksymalnie dwa klucze dostępu. Użytkownik, który stworzyliśmy, miał jeden klucz, więc możemy utworzyć inny klucz dla użytkownika IAM. Wpisz polecenie:

AWS IAM Create-Access-Key-UserDemo UserDemo

To utworzy nowy klucz dostępu dla użytkownika IAM i wyświetli jego tajny klucz dostępu.

Zapisz tajny klucz dostępu powiązany z nowo utworzonym użytkownikiem IAM gdzieś w systemie, ponieważ klucz bezpieczeństwa jest hasłem jednorazowym, niezależnie od tego, czy jest wyświetlany na konsoli AWS, czy interfejs wiersza poleceń.

Aby potwierdzić tworzenie drugiego klucza dostępu dla użytkownika IAM. Wpisz polecenie:

AWS IAM List-Access-Keys-UserDemo użytkownika

Wyświetli to oba poświadczenia powiązane z użytkownikiem IAM. Aby potwierdzić z konsoli AWS, przejdź do „poświadczeń bezpieczeństwa” użytkownika IAM i wyświetl nowo utworzony klucz dostępu dla tego samego użytkownika IAM.

Na interfejsie użytkownika AWS IAM są zarówno stare, jak i nowo utworzone klucze dostępu.

Drugi użytkownik i.mi., „UserDemo” nie otrzymał żadnych uprawnień. Po pierwsze, udzielaj uprawnień do dostępu S3, aby umożliwić użytkownikowi dostęp do powiązanej listy S3 Bucket, a następnie kliknij przycisk „Dodaj uprawnienia”.

Wybierz załącz istniejące zasady bezpośrednio, a następnie wyszukaj i wybierz pozwolenie „AmazonS3fulLAccess” i zaznacz go, aby udzielić tego użytkownika IAM pozwolenie na dostęp do wiadra S3.

W ten sposób uprawnienie jest udzielane już już utworzonym użytkownikowi IAM.

Wyświetl listę S3 Bucket powiązana z użytkownikiem IAM, wpisując polecenie:

AWS S3 LS -Profile UserDemo

Teraz użytkownik może obrócić klucze dostępu użytkownika IAM. W tym celu potrzebne są klucze dostępu. Wpisz polecenie:

AWS IAM List-Access-Keys-UserDemo użytkownika

Uczyń stary klucz dostępu „nieaktywny”, kopiując stary klucz dostępu użytkownika IAM i wklejając w poleceniu:

AWS IAM UPDATE-ACCESS-KEY-Access-Key-Id Akiazveseasbvnkbrfm2 --status Inactive-UserDemo UserDemo-User-name

Aby potwierdzić, czy status kluczowy został ustawiony jako nieaktywny, czy nie, wpisz polecenie:

AWS IAM List-Access-Keys-UserDemo użytkownika

Wpisz polecenie:

AWS Configure -Profile UserDemo

Kluczem dostępu, o który prosi, jest ten, który jest nieaktywny. Musimy więc skonfigurować go teraz z drugim kluczem dostępu.

Skopiuj poświadczenia przechowywane w systemie.

Wklej poświadczenia w AWS CLI, aby skonfigurować użytkownika IAM z nowymi poświadczeniami.

Lista segmentów S3 potwierdza, że ​​użytkownik IAM został pomyślnie skonfigurowany z aktywnym kluczem dostępu. Wpisz polecenie:

AWS S3 LS -Profile UserDemo

Teraz użytkownik może usunąć nieaktywny klucz, ponieważ użytkownik IAM przypisał nowy klucz. Aby usunąć stary klawisz dostępu, wpisz polecenie:

AWS iam delete-access-key-access-key-id akiazveseasbvnkbrfm2-UserDemo użytkownika

Aby potwierdzić usunięcie, napisz polecenie:

AWS IAM List-Access-Keys-UserDemo użytkownika

Dane wyjściowe pokazuje, że teraz jest tylko jeden klucz.

Wreszcie klucz dostępu został pomyślnie obrócony. Użytkownik może wyświetlić nowy klucz dostępu na interfejsie AWS IAM. Będzie pojedynczy klucz z kluczowym identyfikatorem, który przypisaliśmy, zastępując poprzedni.

To był kompletny proces obracania klawiszy dostępu użytkownika IAM.

Wniosek

Klucze dostępu są obracane w celu utrzymania bezpieczeństwa organizacji. Proces obracania klawiszy dostępu obejmuje tworzenie użytkownika IAM z dostępem administratora i innego użytkownika IAM, do którego można uzyskać dostęp do pierwszego użytkownika IAM z dostępem administratora. Drugi użytkownik IAM przypisuje się nowy klucz dostępu za pośrednictwem AWS CLI, a starszy jest usuwany po skonfigurowaniu użytkownika z drugim kluczem dostępu. Po obrotu klucz dostępu użytkownika IAM nie jest taki sam, jak przed obrotem.