IAM -Zugriffsschlüssel werden gedreht, um die Konten sicher zu halten. Wenn der Zugriffsschlüssel versehentlich einem Außenseiter ausgesetzt ist, besteht das Risiko eines nicht authentischen Zugriffs auf das IAM -Benutzerkonto, mit dem der Zugriffsschlüssel zugeordnet ist. Wenn sich die Zugriffs- und geheimen Zugangstasten weiter verändern und rotieren, nimmt die Wahrscheinlichkeit eines unbefugten Zugangs ab. Das Drehen der Zugriffsschlüssel ist also eine Praxis, die allen Unternehmen mit Amazon Web Services und IAM -Benutzerkonten empfohlen wird.
Der Artikel erläutert die Methode zum Drehen der Zugriffsschlüssel eines IAM -Benutzers im Detail.
So drehen Sie Zugangstasten?
Um die Zugriffsschlüssel eines IAM -Benutzers zu drehen, muss der Benutzer AWS CLI installiert haben, bevor Sie mit dem Prozess gestartet werden.
Melden Sie sich bei der AWS -Konsole an und gehen Sie zum IAM -Service von AWS und erstellen Sie dann einen neuen IAM -Benutzer in der AWS -Konsole. Nennen Sie den Benutzer und erlauben Sie den Benutzer programmatischer Zugriff auf den Benutzer.
Fügen Sie vorhandene Richtlinien bei und erteilen Sie dem Benutzer die Berechtigung für Administratorzugriff.
Auf diese Weise wird der IAM -Benutzer erstellt. Wenn der IAM -Benutzer erstellt wird, kann der Benutzer seine Anmeldeinformationen anzeigen. Der Zugriffstast. Der Benutzer kann es nicht mehr als einmal anzeigen.
Konfigurieren Sie AWS CLI
Konfigurieren Sie die AWS -CLI, um Befehle auszuführen, um die Zugriffstasten zu drehen. Der Benutzer muss zuerst mithilfe der Anmeldeinformationen des Profils oder des gerade erstellten IAM -Benutzer konfiguriert werden. Geben Sie zum Konfigurieren den Befehl ein:
AWS configure -Profile userAdmin
Kopieren Sie die Anmeldeinformationen von der AWS IAM -Benutzeroberfläche und fügen Sie sie in die CLI ein.
Geben Sie die Region ein, in der der IAM -Benutzer erstellt wurde, und dann ein gültiges Ausgabeformat.
Erstellen Sie einen anderen IAM -Benutzer
Erstellen Sie einen anderen Benutzer auf die gleiche Weise wie die vorherige, wobei der einzige Unterschied darin besteht, dass keine Berechtigungen erteilt werden.
Nennen Sie den IAM -Benutzer und markieren Sie den Anmeldeinformationsart als programmatischen Zugriff.
Dies ist der IAM -Benutzer, dessen Zugangstaste kurz vor dem Drehen steht. Wir haben den Benutzer "UserDemo" bezeichnet.
Konfigurieren Sie den zweiten IAM -Benutzer
Geben Sie die Anmeldeinformationen des zweiten IAM -Benutzers auf die gleiche Weise wie der erste Benutzer ein oder fügen Sie sie in die CLI ein.
Führen Sie die Befehle aus
Beide IAM -Benutzer wurden über AWS CLI konfiguriert. Jetzt kann der Benutzer die Befehle ausführen, die zum Drehen der Zugriffstasten erforderlich sind. Geben Sie den Befehl ein, um den Zugriffsschlüssel und den Status von UserDemo anzuzeigen:
AWS IAM List-Access-Keys-Benutzername UserDemo-Profile userAdmin
Ein einzelner IAM -Benutzer kann bis zu zwei Zugriffsschlüssel haben. Der von uns erstellte Benutzer hatte einen einzelnen Schlüssel. Daher können wir einen weiteren Schlüssel für den IAM -Benutzer erstellen. Geben Sie den Befehl ein:
AWS IAM CREATE-ACCESS-KEY-NAME-NAME UNSER
Dadurch wird für den IAM -Benutzer einen neuen Zugriffsschlüssel erstellt und seinen geheimen Zugriffsschlüssel angezeigt.
Speichern Sie den mit dem neu erstellten IAM-Benutzer zugeordneten geheimen Zugriffstast.
So bestätigen Sie die Erstellung des zweiten Zugriffsschlüssels für den IAM -Benutzer. Geben Sie den Befehl ein:
AWS IAM List-Access-Keys-Benutzername UserDemo-Profile userAdmin
Dadurch werden beide Anmeldeinformationen angezeigt, die dem IAM -Benutzer zugeordnet sind. Um aus der AWS -Konsole zu bestätigen, gehen Sie zu den „Sicherheitsanmeldeinformationen“ des IAM -Benutzer.
Auf der AWS -IAM -Benutzeroberfläche gibt es sowohl alte als auch neu erstellte Zugriffstasten.
Der zweite Benutzer i.e., "UserDemo" erhielt keine Berechtigungen. Gewähren Sie also zunächst die S3 -Zugriffsberechtigungen, damit der Benutzer Zugriff auf die zugehörige S3 -Bucket -Liste ermöglicht, und klicken Sie dann auf die Schaltfläche „Berechtigungen hinzufügen“.
Wählen Sie die vorhandenen Richtlinien direkt an und suchen Sie dann nach der Berechtigung „Amazons3fullAccess“ und markieren Sie sie, um diesem IAM -Benutzer die Berechtigung zum Zugriff auf den S3 -Bucket zu erteilen.
Auf diese Weise wird eine Erlaubnis an einen bereits geschaffenen IAM-Benutzer erteilt.
Zeigen Sie die dem IAM -Benutzer zugeordnete S3 -Bucket -Liste an, indem Sie den Befehl eingeben:
AWS S3 LS -Profile UserDemo
Jetzt kann der Benutzer die Zugriffsschlüssel des IAM -Benutzers drehen. Dafür sind Zugangstasten benötigt. Geben Sie den Befehl ein:
AWS IAM List-Access-Keys-Benutzername UserDemo-Profile userAdmin
Machen Sie den alten Zugriffsschlüssel „inaktiv“, indem Sie den alten Zugriffstaste des IAM -Benutzers kopieren und den Befehl einfügen:
AWS IAM Update-Access-Key-Access-Key-ID Akiazveasbvnkbrfm2-Status Inaktiv-Benutzername UserDemo-Profile userAdmin
Um zu bestätigen, ob der Schlüsselstatus als inaktiv oder nicht festgelegt wurde, geben Sie den Befehl ein:
AWS IAM List-Access-Keys-Benutzername UserDemo-Profile userAdmin
Geben Sie den Befehl ein:
AWS configure -Profile userDemo
Der Zugangsschlüssel, den es verlangt, ist derjenige, der inaktiv ist. Wir müssen es also jetzt mit dem zweiten Zugriffstaste konfigurieren.
Kopieren Sie die auf dem System gespeicherten Anmeldeinformationen.
Fügen Sie die Anmeldeinformationen in die AWS CLI ein, um den IAM -Benutzer mit neuen Anmeldeinformationen zu konfigurieren.
Die S3 -Bucket -Liste bestätigt, dass der IAM -Benutzer erfolgreich mit einem aktiven Zugriffstaste konfiguriert wurde. Geben Sie den Befehl ein:
AWS S3 LS -Profile UserDemo
Jetzt kann dem Benutzer den inaktiven Schlüssel löschen, da dem IAM -Benutzer ein neuer Schlüssel zugewiesen wurde. Geben Sie den Befehl ein, um die alte Zugriffstaste zu löschen:
AWS IAM Delete-Access-Key-Access-Key-ID AkiazveasbvnkBrfm2-Benutzername UserDemo-Profile userAdmin
Um die Löschung zu bestätigen, schreiben Sie den Befehl:
AWS IAM List-Access-Keys-Benutzername UserDemo-Profile userAdmin
Die Ausgabe zeigt, dass jetzt nur noch eine Schlüssel übrig ist.
Schließlich wurde der Zugangschlüssel erfolgreich gedreht. Der Benutzer kann den neuen Zugriffsschlüssel auf der AWS IAM -Schnittstelle anzeigen. Es wird einen einzigen Schlüssel mit einer Schlüssel -ID geben, die wir zugewiesen haben, indem wir den vorherigen ersetzt.
Dies war ein vollständiger Prozess des Drehens der IAM -Benutzerzugriffsschlüssel.
Abschluss
Die Zugangstasten werden gedreht, um die Sicherheit einer Organisation aufrechtzuerhalten. Durch das Drehen der Zugriffsschlüssel wird ein IAM -Benutzer mit Administratorzugriff und einen anderen IAM -Benutzer erstellt, auf den der erste IAM -Benutzer mit Administratorzugriff zugegriffen werden kann. Dem zweiten IAM -Benutzer wird über AWS CLI eine neue Zugriffstaste zugewiesen, und der ältere wird gelöscht, nachdem der Benutzer mit einer zweiten Zugriffstaste konfiguriert wurde. Nach der Rotation ist der Zugriffstaste des IAM -Benutzers nicht der gleiche wie vor der Rotation.