Les clés d'accès IAM sont tournées pour garder les comptes sécurisés. Si la clé d'accès est accidentellement exposée à un étranger, il existe un risque d'accès inauthentique au compte d'utilisateur IAM avec lequel la clé d'accès est associée. Lorsque les clés d'accès et d'accès secret continuent de changer et de tourner, les chances d'accès non authentique diminue. Ainsi, la rotation des clés d'accès est une pratique recommandée à toutes les entreprises à l'aide d'Amazon Web Services et des comptes d'utilisateurs IAM.
L'article expliquera en détail la méthode de rotation des clés d'accès d'un utilisateur IAM.
Comment faire tourner les touches d'accès?
Pour faire pivoter les clés d'accès d'un utilisateur IAM, l'utilisateur doit avoir installé AWS CLI avant de démarrer le processus.
Connectez-vous à la console AWS et accédez au service IAM de AWS, puis créez un nouvel utilisateur IAM dans la console AWS. Nommez l'utilisateur et autorisez l'accès programmatique à l'utilisateur.
Joindre des politiques existantes et accorder l'autorisation d'accès à l'administrateur à l'utilisateur.
De cette façon, l'utilisateur IAM est créé. Lorsque l'utilisateur IAM est créé, l'utilisateur peut afficher ses informations d'identification. La clé d'accès peut également être consultée plus tard à tout moment, mais la touche d'accès secrète s'affiche comme un mot de passe unique. L'utilisateur ne peut pas le visualiser plus d'une fois.
Configurer AWS CLI
Configurez AWS CLI pour exécuter les commandes pour faire pivoter les touches d'accès. L'utilisateur doit d'abord configurer à l'aide des informations d'identification du profil ou de l'utilisateur IAM qui vient d'être créé. Pour configurer, tapez la commande:
AWS Configure --profile userAdmin
Copiez les informations d'identification de l'interface utilisateur AWS IAM et collez-les dans la CLI.
Tapez la région dans laquelle l'utilisateur IAM a été créé, puis un format de sortie valide.
Créer un autre utilisateur IAM
Créez un autre utilisateur de la même manière que le précédent, la seule différence étant qu'il n'a aucune autorisation accordée.
Nommez l'utilisateur IAM et marquez le type d'identification comme accès programmatique.
Il s'agit de l'utilisateur IAM, dont la clé d'accès est sur le point de tourner. Nous avons nommé l'utilisateur «UserDemo».
Configurer le deuxième utilisateur IAM
Tapez ou collez les informations d'identification du deuxième utilisateur IAM dans la CLI de la même manière que le premier utilisateur.
Exécuter les commandes
Les deux utilisateurs IAM ont été configurés via AWS CLI. Maintenant, l'utilisateur peut exécuter les commandes requises pour faire pivoter les touches d'accès. Tapez la commande pour afficher la clé d'accès et l'état de UserDemo:
AWS IAM List-Access-Keys - User-name UserDemo - UserAdmin deprofile
Un seul utilisateur IAM peut avoir jusqu'à deux clés d'accès. L'utilisateur que nous avons créé avait une seule clé, nous pouvons donc créer une autre clé pour l'utilisateur IAM. Tapez la commande:
AWS IAM Create-Access-Key - User-Name UserDemo --Profile UserAdmin
Cela créera une nouvelle clé d'accès pour l'utilisateur IAM et affichera sa clé d'accès secrète.
Enregistrez la clé d'accès secrète associée à l'utilisateur IAM nouvellement créé quelque part sur le système car la clé de sécurité est un mot de passe unique, qu'il soit affiché sur la console AWS ou l'interface de ligne de commande.
Pour confirmer la création de la deuxième clé d'accès pour l'utilisateur IAM. Tapez la commande:
AWS IAM List-Access-Keys - User-name UserDemo - UserAdmin deprofile
Cela affichera à la fois les informations d'identification associées à l'utilisateur IAM. Pour confirmer à partir de la console AWS, accédez aux «informations d'identification de sécurité» de l'utilisateur IAM et affichez la clé d'accès nouvellement créée pour le même utilisateur IAM.
Sur l'interface utilisateur AWS IAM, il existe des touches d'accès anciennes et nouvellement créées.
Le deuxième utilisateur I.e., «UserDemo» n'a obtenu aucune autorisation. Ainsi, d'abord, accorder des autorisations d'accès à S3 pour permettre à l'utilisateur d'accéder à la liste de seaux S3 associée, puis cliquez sur le bouton "Ajouter les autorisations".
Sélectionnez les politiques jointes directement existantes, puis recherchez et sélectionnez l'autorisation «Amazons3fullaccess» et marquez-la pour accorder à cet utilisateur IAM l'autorisation d'accéder au seau S3.
De cette façon, l'autorisation est accordée à un utilisateur IAM déjà créé.
Affichez la liste S3 Bucket associée à l'utilisateur IAM en tapant la commande:
AWS S3 LS --Profile UserDemo
Maintenant, l'utilisateur peut faire pivoter les clés d'accès de l'utilisateur IAM. Pour cela, des clés d'accès sont nécessaires. Tapez la commande:
AWS IAM List-Access-Keys - User-name UserDemo - UserAdmin deprofile
Faites de l'ancienne clé d'accès «inactive» en copiant l'ancienne clé d'accès de l'utilisateur IAM et en collant dans la commande:
AWS IAM UPDATE-ACCESS-KEKE - Access-Key-ID AkiazveSeasBvnkBrfm2 --status Inactive - User-name UserDemo --profile userAdmin
Pour confirmer si le statut de clé a été défini comme inactif ou non, tapez la commande:
AWS IAM List-Access-Keys - User-name UserDemo - UserAdmin deprofile
Tapez la commande:
AWS Configure --Profile UserDemo
La clé d'accès qu'il demande est celle qui est inactive. Nous devons donc le configurer avec la deuxième touche d'accès maintenant.
Copiez les informations d'identification stockées sur le système.
Collez les informations d'identification dans la CLI AWS pour configurer l'utilisateur IAM avec de nouvelles informations d'identification.
La liste S3 Bucket confirme que l'utilisateur IAM a été configuré avec succès avec une clé d'accès active. Tapez la commande:
AWS S3 LS --Profile UserDemo
Maintenant, l'utilisateur peut supprimer la clé inactive car l'utilisateur IAM a reçu une nouvelle clé. Pour supprimer l'ancienne clé d'accès, saisissez la commande:
AWS Iam Delete-Access-Key - Access-Key-ID AkiazseasEasBvnkBrfm2 - User-name UserDemo --profile userAdmin
Pour confirmer la suppression, écrivez la commande:
AWS IAM List-Access-Keys - User-name UserDemo - UserAdmin deprofile
La sortie montre qu'il ne reste plus qu'une seule clé maintenant.
Enfin, la clé d'accès a été tournée avec succès. L'utilisateur peut afficher la nouvelle clé d'accès sur l'interface AWS IAM. Il y aura une seule clé avec un ID de clé que nous avons attribué en remplaçant le précédent.
C'était un processus complet de rotation des clés d'accès aux utilisateurs IAM.
Conclusion
Les clés d'accès sont tournées pour maintenir la sécurité d'une organisation. Le processus de rotation des clés d'accès implique la création d'un utilisateur IAM avec un accès administrateur et un autre utilisateur IAM qui peut être accessible par le premier utilisateur IAM avec l'accès administrateur. Le deuxième utilisateur IAM se voit attribuer une nouvelle clé d'accès via AWS CLI, et l'ancien est supprimé après la configuration de l'utilisateur avec une deuxième clé d'accès. Après la rotation, la clé d'accès de l'utilisateur IAM n'est pas la même qu'elle l'était avant la rotation.