Comment faire pivoter les clés d'accès dans AWS

Lena Martinez
Comment faire pivoter les clés d'accès dans AWS

Les clés d'accès IAM sont tournées pour garder les comptes sécurisés. Si la clé d'accès est accidentellement exposée à un étranger, il existe un risque d'accès inauthentique au compte d'utilisateur IAM avec lequel la clé d'accès est associée. Lorsque les clés d'accès et d'accès secret continuent de changer et de tourner, les chances d'accès non authentique diminue. Ainsi, la rotation des clés d'accès est une pratique recommandée à toutes les entreprises à l'aide d'Amazon Web Services et des comptes d'utilisateurs IAM.

L'article expliquera en détail la méthode de rotation des clés d'accès d'un utilisateur IAM.

Comment faire tourner les touches d'accès?

Pour faire pivoter les clés d'accès d'un utilisateur IAM, l'utilisateur doit avoir installé AWS CLI avant de démarrer le processus.

Connectez-vous à la console AWS et accédez au service IAM de AWS, puis créez un nouvel utilisateur IAM dans la console AWS. Nommez l'utilisateur et autorisez l'accès programmatique à l'utilisateur.

Joindre des politiques existantes et accorder l'autorisation d'accès à l'administrateur à l'utilisateur.

De cette façon, l'utilisateur IAM est créé. Lorsque l'utilisateur IAM est créé, l'utilisateur peut afficher ses informations d'identification. La clé d'accès peut également être consultée plus tard à tout moment, mais la touche d'accès secrète s'affiche comme un mot de passe unique. L'utilisateur ne peut pas le visualiser plus d'une fois.

Configurer AWS CLI

Configurez AWS CLI pour exécuter les commandes pour faire pivoter les touches d'accès. L'utilisateur doit d'abord configurer à l'aide des informations d'identification du profil ou de l'utilisateur IAM qui vient d'être créé. Pour configurer, tapez la commande:

AWS Configure --profile userAdmin

Copiez les informations d'identification de l'interface utilisateur AWS IAM et collez-les dans la CLI.

Tapez la région dans laquelle l'utilisateur IAM a été créé, puis un format de sortie valide.

Créer un autre utilisateur IAM

Créez un autre utilisateur de la même manière que le précédent, la seule différence étant qu'il n'a aucune autorisation accordée.

Nommez l'utilisateur IAM et marquez le type d'identification comme accès programmatique.

Il s'agit de l'utilisateur IAM, dont la clé d'accès est sur le point de tourner. Nous avons nommé l'utilisateur «UserDemo».

Configurer le deuxième utilisateur IAM

Tapez ou collez les informations d'identification du deuxième utilisateur IAM dans la CLI de la même manière que le premier utilisateur.

Exécuter les commandes

Les deux utilisateurs IAM ont été configurés via AWS CLI. Maintenant, l'utilisateur peut exécuter les commandes requises pour faire pivoter les touches d'accès. Tapez la commande pour afficher la clé d'accès et l'état de UserDemo:

AWS IAM List-Access-Keys - User-name UserDemo - UserAdmin deprofile

Un seul utilisateur IAM peut avoir jusqu'à deux clés d'accès. L'utilisateur que nous avons créé avait une seule clé, nous pouvons donc créer une autre clé pour l'utilisateur IAM. Tapez la commande:

AWS IAM Create-Access-Key - User-Name UserDemo --Profile UserAdmin

Cela créera une nouvelle clé d'accès pour l'utilisateur IAM et affichera sa clé d'accès secrète.

Enregistrez la clé d'accès secrète associée à l'utilisateur IAM nouvellement créé quelque part sur le système car la clé de sécurité est un mot de passe unique, qu'il soit affiché sur la console AWS ou l'interface de ligne de commande.

Pour confirmer la création de la deuxième clé d'accès pour l'utilisateur IAM. Tapez la commande:

AWS IAM List-Access-Keys - User-name UserDemo - UserAdmin deprofile

Cela affichera à la fois les informations d'identification associées à l'utilisateur IAM. Pour confirmer à partir de la console AWS, accédez aux «informations d'identification de sécurité» de l'utilisateur IAM et affichez la clé d'accès nouvellement créée pour le même utilisateur IAM.

Sur l'interface utilisateur AWS IAM, il existe des touches d'accès anciennes et nouvellement créées.

Le deuxième utilisateur I.e., «UserDemo» n'a obtenu aucune autorisation. Ainsi, d'abord, accorder des autorisations d'accès à S3 pour permettre à l'utilisateur d'accéder à la liste de seaux S3 associée, puis cliquez sur le bouton "Ajouter les autorisations".

Sélectionnez les politiques jointes directement existantes, puis recherchez et sélectionnez l'autorisation «Amazons3fullaccess» et marquez-la pour accorder à cet utilisateur IAM l'autorisation d'accéder au seau S3.

De cette façon, l'autorisation est accordée à un utilisateur IAM déjà créé.

Affichez la liste S3 Bucket associée à l'utilisateur IAM en tapant la commande:

AWS S3 LS --Profile UserDemo

Maintenant, l'utilisateur peut faire pivoter les clés d'accès de l'utilisateur IAM. Pour cela, des clés d'accès sont nécessaires. Tapez la commande:

AWS IAM List-Access-Keys - User-name UserDemo - UserAdmin deprofile

Faites de l'ancienne clé d'accès «inactive» en copiant l'ancienne clé d'accès de l'utilisateur IAM et en collant dans la commande:

AWS IAM UPDATE-ACCESS-KEKE - Access-Key-ID AkiazveSeasBvnkBrfm2 --status Inactive - User-name UserDemo --profile userAdmin

Pour confirmer si le statut de clé a été défini comme inactif ou non, tapez la commande:

AWS IAM List-Access-Keys - User-name UserDemo - UserAdmin deprofile

Tapez la commande:

AWS Configure --Profile UserDemo

La clé d'accès qu'il demande est celle qui est inactive. Nous devons donc le configurer avec la deuxième touche d'accès maintenant.

Copiez les informations d'identification stockées sur le système.

Collez les informations d'identification dans la CLI AWS pour configurer l'utilisateur IAM avec de nouvelles informations d'identification.

La liste S3 Bucket confirme que l'utilisateur IAM a été configuré avec succès avec une clé d'accès active. Tapez la commande:

AWS S3 LS --Profile UserDemo

Maintenant, l'utilisateur peut supprimer la clé inactive car l'utilisateur IAM a reçu une nouvelle clé. Pour supprimer l'ancienne clé d'accès, saisissez la commande:

AWS Iam Delete-Access-Key - Access-Key-ID AkiazseasEasBvnkBrfm2 - User-name UserDemo --profile userAdmin

Pour confirmer la suppression, écrivez la commande:

AWS IAM List-Access-Keys - User-name UserDemo - UserAdmin deprofile

La sortie montre qu'il ne reste plus qu'une seule clé maintenant.

Enfin, la clé d'accès a été tournée avec succès. L'utilisateur peut afficher la nouvelle clé d'accès sur l'interface AWS IAM. Il y aura une seule clé avec un ID de clé que nous avons attribué en remplaçant le précédent.

C'était un processus complet de rotation des clés d'accès aux utilisateurs IAM.

Conclusion

Les clés d'accès sont tournées pour maintenir la sécurité d'une organisation. Le processus de rotation des clés d'accès implique la création d'un utilisateur IAM avec un accès administrateur et un autre utilisateur IAM qui peut être accessible par le premier utilisateur IAM avec l'accès administrateur. Le deuxième utilisateur IAM se voit attribuer une nouvelle clé d'accès via AWS CLI, et l'ancien est supprimé après la configuration de l'utilisateur avec une deuxième clé d'accès. Après la rotation, la clé d'accès de l'utilisateur IAM n'est pas la même qu'elle l'était avant la rotation.

php
Comment utiliser la fonction php rand
La fonction Rand () en PHP peut être utilisée pour générer des nombres aléatoires à diverses fins, t...
Sarah Roux
golang
Que sont les constantes à Golang?
Dans la langue Go, les constantes sont des variables avec des valeurs fixes qui ne peuvent pas être ...
Ethan Guillot
C ++
Comment utiliser l'instruction Switch en C++?
L'instruction Switch est une instruction conditionnelle en C ++ qui teste une variable contre plusie...
Julien Dumas
Python
Filtre Nan Pandas
Nathan Blanc
Python
Python Math Exp
Mohamed Benoit
Windows OS
Qu'est-ce que Windows Package Manager
Mohamed Benoit
php
Comment utiliser la fonction PHP Serialize
Célia Girard
Oracle Linux
Comment installer Oracle SQL Developer sur Windows?
Célia Girard
AWS
Quels outils AWS et DevOps sont nécessaires pour développer une application Web?
Zoe Martinez
Java
Qu'est-ce que l'importer java.Io.* en Java?
Gabriel Bernard
AWS
Quelles sont les fonctions de pas AWS et comment les utiliser?
Ethan Guillot
Sqlite
Puis-je utiliser Sqlite en ligne?
Gabriel Bernard
C programmation C
Livres et guides pour la langue C
Nathan Blanc