Come ruotare le chiavi di accesso in AWS

Come ruotare le chiavi di accesso in AWS

Le chiavi di accesso sono ruotate per mantenere sicuri gli account. Se la chiave di accesso è accidentalmente esposta a qualsiasi estraneo, esiste un rischio di accesso non autentico all'account utente IAM con cui è associata la chiave di accesso. Quando le chiavi di accesso e accesso segrete continuano a cambiare e ruotare, le possibilità di accesso non autentico diminuiscono. Pertanto, la rotazione delle chiavi di accesso è una pratica consigliata a tutte le aziende che utilizzano Amazon Web Services e Account utente IAM.

L'articolo spiegherà in dettaglio il metodo di rotazione delle chiavi di accesso di un utente IAM.

Come ruotare i tasti di accesso?

Per ruotare le chiavi di accesso di un utente IAM, l'utente deve aver installato AWS CLI prima di avviare il processo.

Accedi alla console AWS e vai al servizio IAM di AWS e quindi crea un nuovo utente IAM nella console AWS. Nominare l'utente e consentire l'accesso programmatico all'utente.

Allega le politiche esistenti e concedi l'accesso all'amministratore per l'utente.

In questo modo, viene creato l'utente IAM. Quando viene creato l'utente IAM, l'utente può visualizzare le sue credenziali. La chiave di accesso può anche essere visualizzata più tardi in qualsiasi momento, ma la chiave di accesso segreto viene visualizzata come password una tantum. L'utente non può visualizzarlo più di una volta.

Configura AWS CLI

Configura AWS CLI per eseguire comandi per ruotare i tasti di accesso. L'utente deve prima configurare utilizzando le credenziali del profilo o dell'utente IAM appena creato. Per configurare, digitare il comando:

AWS Configura -Profile UserAdmin

Copia le credenziali dall'interfaccia utente AWS iam e incollali nella CLI.

Digita la regione in cui è stato creato l'utente IAM e quindi un formato di output valido.

Crea un altro utente IAM

Crea un altro utente allo stesso modo del precedente, con l'unica differenza che non ha autorizzazioni concesse.

Nomina l'utente IAM e contrassegna il tipo di credenziale come accesso programmatico.

Questo è l'utente IAM, la cui chiave di accesso sta per ruotare. Abbiamo chiamato l'utente "UserDemo".

Configurare il secondo utente IAM

Digitare o incollare le credenziali del secondo utente IAM nella CLI allo stesso modo del primo utente.

Eseguire i comandi

Entrambi gli utenti IAM sono stati configurati tramite AWS CLI. Ora, l'utente può eseguire i comandi necessari per ruotare i tasti di accesso. Digitare il comando per visualizzare la chiave di accesso e lo stato di UserDemo:

AWS iam List-Access-Keys-User-UserDemo --Profile UserAdmin

Un singolo utente IAM può avere fino a due chiavi di accesso. L'utente che abbiamo creato aveva una singola chiave, quindi possiamo creare un'altra chiave per l'utente IAM. Digita il comando:

AWS iam Create-Access-key-UserDemo UserDemo --Profile

Questo creerà una nuova chiave di accesso per l'utente IAM e visualizzerà la sua chiave di accesso segreto.

Salva il tasto di accesso segreto associato all'utente IAM appena creato da qualche parte sul sistema perché la chiave di sicurezza è una password una tantum, sia che venga visualizzata sulla console AWS o sull'interfaccia della riga di comando.

Per confermare la creazione della seconda chiave di accesso per l'utente IAM. Digita il comando:

AWS iam List-Access-Keys-User-UserDemo --Profile UserAdmin

Ciò visualizzerà entrambe le credenziali associate all'utente IAM. Per confermare dalla console AWS, vai alle "credenziali di sicurezza" dell'utente IAM e visualizza la chiave di accesso appena creata per lo stesso utente IAM.

Sull'interfaccia utente AWS iam, ci sono chiavi di accesso sia vecchie che appena create.

Il secondo utente I.e., "UserDemo" non è stata concessa alcuna autorizzazione. Pertanto, concedere le autorizzazioni di accesso S3 per consentire all'utente l'accesso all'elenco dei bucket S3 associato e quindi fare clic sul pulsante "Aggiungi autorizzazioni".

Seleziona direttamente le politiche esistenti allegate e quindi cerca e seleziona l'autorizzazione "Amazons3Fullaccess" e contrassegnarlo per concedere a questo utente IAM l'autorizzazione per accedere al bucket S3.

In questo modo, il permesso è concesso a un utente IAM già creato.

Visualizza l'elenco dei bucket S3 associato all'utente IAM digitando il comando:

AWS S3 LS --Profile UserDemo

Ora, l'utente può ruotare le chiavi di accesso dell'utente IAM. Per questo, sono necessarie le chiavi di accesso. Digita il comando:

AWS iam List-Access-Keys-User-UserDemo --Profile UserAdmin

Rendi la vecchia chiave di accesso "inattiva" copiando la vecchia chiave di accesso dell'utente IAM e incollando nel comando:

AWS iam Update-Access-key-Access-ke-id Akiazvesbvnkbrfm2 --status inattivo-UserDemo-UserDemo --Profile

Per confermare se lo stato della chiave è stato impostato come inattivo o meno, digitare il comando:

AWS iam List-Access-Keys-User-UserDemo --Profile UserAdmin

Digita il comando:

AWS Configura --Profile UserDemo

La chiave di accesso che sta chiedendo è quella inattiva. Quindi, dobbiamo configurarlo ora con la seconda chiave di accesso.

Copia le credenziali memorizzate sul sistema.

Incolla le credenziali nella CLI AWS per configurare l'utente IAM con nuove credenziali.

L'elenco dei bucket S3 conferma che l'utente IAM è stato configurato correttamente con una chiave di accesso attivo. Digita il comando:

AWS S3 LS --Profile UserDemo

Ora, l'utente può eliminare la chiave inattiva poiché all'utente IAM è stata assegnata una nuova chiave. Per eliminare la vecchia chiave di accesso, digita il comando:

AWS iam ELETE-ACCESS-key-Access-ke-ID akiazvesbvnkbrfm2-UserDemo-UserDemo --Profile

Per confermare la cancellazione, scrivere il comando:

AWS iam List-Access-Keys-User-UserDemo --Profile UserAdmin

L'output mostra che ora è rimasta una sola chiave.

Infine, la chiave di accesso è stata ruotata con successo. L'utente può visualizzare la nuova chiave di accesso sull'interfaccia AWS iam. Ci sarà una singola chiave con un ID chiave che abbiamo assegnato sostituendo quello precedente.

Questo è stato un processo completo di rotazione delle chiavi di accesso utente IAM.

Conclusione

Le chiavi di accesso vengono ruotate per mantenere la sicurezza di un'organizzazione. Il processo di rotazione delle chiavi di accesso prevede la creazione di un utente IAM con accesso amministrativo e un altro utente IAM a cui è possibile accedere dal primo utente IAM con accesso all'amministratore. Al secondo utente IAM viene assegnato una nuova chiave di accesso tramite AWS CLI e quella più vecchia viene eliminata dopo aver configurato l'utente con una seconda chiave di accesso. Dopo la rotazione, la chiave di accesso dell'utente IAM non è la stessa di prima della rotazione.