Hvordan du roterer tilgangsnøkler i AWS

Hvordan du roterer tilgangsnøkler i AWS

IAM -tilgangsnøkler roteres for å holde kontoene sikre. Hvis tilgangsnøkkelen ved et uhell blir utsatt for noen utenforstående, er det fare for inauthentic tilgang til IAM -brukerkontoen som tilgangsnøkkelen er tilknyttet. Når tilgangs- og hemmelige tilgangsnøkler fortsetter å endre og rotere, reduseres sjansene for uauthentisk tilgang. Så å rotere tilgangstastene er en praksis som anbefales til alle virksomheter som bruker Amazon Web Services og IAM brukerkontoer.

Artikkelen vil forklare metoden for å rotere tilgangstastene til en IAM -bruker i detalj.

Hvordan du roterer tilgangsnøkler?

For å rotere tilgangstastene til en IAM -bruker, må brukeren ha installert AWS CLI før prosessen startet prosessen.

Logg deg på AWS -konsollen og gå til IAM -tjenesten til AWS, og opprett deretter en ny IAM -bruker i AWS -konsollen. Navngi brukeren og gi programmatisk tilgang til brukeren.

Legg ved eksisterende retningslinjer og gi administratorens tilgangstillatelse til brukeren.

På denne måten opprettes IAM -brukeren. Når IAM -brukeren opprettes, kan brukeren se sin legitimasjon. Tilgangsnøkkelen kan også vises senere når som helst, men Secret Access-tasten vises som et engangspassord. Brukeren kan ikke se det mer enn en gang.

Konfigurer AWS CLI

Konfigurer AWS CLI for å utføre kommandoer for å rotere tilgangstastene. Brukeren må først konfigurere ved hjelp av legitimasjonen til profilen eller IAM -brukeren nettopp opprettet. For å konfigurere, skriver du opp kommandoen:

AWS Konfigurer -Profile UserAdmin

Kopier legitimasjonen fra AWS IAM -brukergrensesnittet og lim inn dem i CLI.

Skriv inn regionen som IAM -brukeren er opprettet, og deretter et gyldig utgangsformat.

Opprett en annen IAM -bruker

Opprett en annen bruker på samme måte som den forrige, med den eneste forskjellen er at den ikke har noen tillatelser gitt.

Nevn IAM -brukeren og merk legitimasjonstypen som programmatisk tilgang.

Dette er IAM -brukeren, hvis tilgangsnøkkel er i ferd med å rotere. Vi kalte brukeren “UserDemo”.

Konfigurer den andre IAM -brukeren

Skriv inn eller lim inn legitimasjonen til den andre IAM -brukeren i CLI på samme måte som den første brukeren.

Utfør kommandoene

Begge IAM -brukerne har blitt konfigurert via AWS CLI. Nå kan brukeren utføre kommandoene som kreves for å rotere tilgangstastene. Skriv inn kommandoen for å se tilgangsnøkkelen og statusen til UserDemo:

AWS IAM LIST-ACCESS-Keys-Brukernavn UserDemo-Profile UserAdmin

En enkelt IAM -bruker kan ha opptil to tilgangsnøkler. Brukeren som vi opprettet hadde en enkelt nøkkel, så vi kan opprette en annen nøkkel for IAM -brukeren. Skriv kommandoen:

AWS IAM Create-Access-Key-Brukernavn UserDemo-Profile UserAdmin

Dette vil opprette en ny tilgangsnøkkel for IAM -brukeren og vise sin hemmelige tilgangsnøkkel.

Lagre den hemmelige tilgangsnøkkelen tilknyttet den nyopprettede IAM-brukeren et sted på systemet fordi sikkerhetsnøkkelen er et engangspassord enten det vises på AWS-konsollen eller kommandolinjegrensesnittet.

For å bekrefte opprettelsen av den andre tilgangsnøkkelen for IAM -brukeren. Skriv kommandoen:

AWS IAM LIST-ACCESS-Keys-Brukernavn UserDemo-Profile UserAdmin

Dette vil vise begge legitimasjonene knyttet til IAM -brukeren. For å bekrefte fra AWS -konsollen, gå til "sikkerhetsinformasjon" til IAM -brukeren og se den nyopprettede tilgangsnøkkelen for samme IAM -bruker.

På AWS IAM -brukergrensesnittet er det både gamle og nyopprettede tilgangsnøkler.

Den andre brukeren jeg.e., “UserDemo” fikk ikke noen tillatelser. Så først, gi S3 tilgangstillatelser for å gi brukeren tilgang til den tilhørende S3 -bøttelisten og deretter klikk på "Legg til tillatelser" -knappen.

Velg vedlegg eksisterende policyer direkte, og søk etter og velg tillatelsen "Amazons3fullAccess" og merk den til å gi denne IAM -brukeren tillatelse til å få tilgang til S3 -bøtta.

På denne måten gis tillatelse til en allerede skapt IAM-bruker.

Se S3 -bøttelisten tilknyttet IAM -brukeren ved å skrive kommandoen:

AWS S3 LS -Profile UserDemo

Nå kan brukeren rotere tilgangstastene til IAM -brukeren. For det er det nødvendig med tilgangsnøkler. Skriv kommandoen:

AWS IAM LIST-ACCESS-Keys-Brukernavn UserDemo-Profile UserAdmin

Gjør den gamle tilgangsnøkkelen til "inaktiv" ved å kopiere den gamle tilgangsnøkkelen til IAM -brukeren og lime inn kommandoen:

AWS IAM UPDATE-ACCESS-Key-Access-Key-Id AkiazveseSbvnKBRFM2-Status Inaktiv-Brukernavn UserDemo-Profile UserAdmin

For å bekrefte om nøkkelstatusen er satt som inaktiv eller ikke, skriv kommandoen:

AWS IAM LIST-ACCESS-Keys-Brukernavn UserDemo-Profile UserAdmin

Skriv kommandoen:

AWS Konfigurer -Profile UserDemo

Tilgangsnøkkelen den ber om er den som er inaktiv. Så vi må konfigurere det med den andre tilgangstasten nå.

Kopier legitimasjonen som er lagret på systemet.

Lim inn legitimasjonen i AWS CLI for å konfigurere IAM -brukeren med ny legitimasjon.

S3 Bucket List bekrefter at IAM -brukeren er blitt konfigurert med en aktiv tilgangsnøkkel. Skriv kommandoen:

AWS S3 LS -Profile UserDemo

Nå kan brukeren slette den inaktive tasten ettersom IAM -brukeren har fått tildelt en ny nøkkel. For å slette den gamle tilgangstasten, skriver du kommandoen:

AWS IAM Delete-Access-Key-Access-Key-Id AkiazveseSbvnKBRFM2-Brukernavn UserDemo-Profile UserAdmin

For å bekrefte slettingen, skriv kommandoen:

AWS IAM LIST-ACCESS-Keys-Brukernavn UserDemo-Profile UserAdmin

Utgangen viser at det bare er en nøkkel igjen nå.

Endelig har tilgangsnøkkelen blitt rotert med suksess. Brukeren kan se den nye tilgangsnøkkelen på AWS IAM -grensesnittet. Det vil være en enkelt nøkkel med en nøkkel -ID som vi har tildelt ved å erstatte den forrige.

Dette var en komplett prosess for å rotere IAM brukertilgangstastene.

Konklusjon

Tilgangsnøklene roteres for å opprettholde sikkerheten til en organisasjon. Prosessen med å rotere tilgangstastene innebærer å opprette en IAM -bruker med admin -tilgang og en annen IAM -bruker som kan nås av den første IAM -brukeren med administrator tilgang. Den andre IAM -brukeren tildeles en ny tilgangsnøkkel via AWS CLI, og den eldre blir slettet etter å ha konfigurert brukeren med en annen tilgangsnøkkel. Etter rotasjon er ikke tilgangsnøkkelen til IAM -brukeren den samme som den var før rotasjon.