Cómo rotar las teclas de acceso en AWS

Pilar Melgar
Cómo rotar las teclas de acceso en AWS

Las claves de acceso IAM se giran para mantener las cuentas seguras. Si la clave de acceso se expone accidentalmente a cualquier extraño, existe el riesgo de acceso no auténtico a la cuenta de usuario de IAM con la que está asociada la clave de acceso. Cuando las claves de acceso y acceso secretas siguen cambiando y girando, las posibilidades de acceso no auténtico disminuyen. Por lo tanto, girar las claves de acceso es una práctica recomendada para todas las empresas que utilizan los servicios web de Amazon y las cuentas de usuario de IAM.

El artículo explicará el método de girar las claves de acceso de un usuario de IAM en detalle.

Cómo rotar las teclas de acceso?

Para rotar las claves de acceso de un usuario de IAM, el usuario debe haber instalado AWS CLI antes de comenzar el proceso.

Inicie sesión en la consola AWS y vaya al servicio IAM de AWS y luego cree un nuevo usuario de IAM en la consola de AWS. Nombre al usuario y permita el acceso programático al usuario.

Adjunte las políticas existentes y otorgue al administrador permiso de acceso al usuario al usuario.

De esta manera, se crea el usuario de IAM. Cuando se crea el usuario de IAM, el usuario puede ver sus credenciales. La clave de acceso también se puede ver más tarde en cualquier momento, pero la clave de acceso secreto se muestra como una contraseña única. El usuario no puede verlo más de una vez.

Configurar AWS CLI

Configurar AWS CLI para ejecutar comandos para rotar las teclas de acceso. El usuario primero tiene que configurar utilizando las credenciales del perfil o el usuario de IAM acaba de crear. Para configurar, escriba el comando:

AWS Configurar -Profile UserAdmin

Copie las credenciales de la interfaz de usuario de AWS IAM y péguelas en la CLI.

Escriba la región en la que se ha creado el usuario de IAM y luego un formato de salida válido.

Crear otro usuario de IAM

Crear otro usuario de la misma manera que el anterior, con la única diferencia es que no tiene ningún permiso otorgado.

Nombra el usuario de IAM y marque el tipo de credencial como acceso programático.

Este es el usuario de IAM, cuya clave de acceso está a punto de rotar. Llamamos al usuario "UserDemo".

Configurar el segundo usuario de IAM

Escriba o pegue las credenciales del segundo usuario de IAM en la CLI de la misma manera que el primer usuario.

Ejecutar los comandos

Ambos usuarios de IAM se han configurado a través de AWS CLI. Ahora, el usuario puede ejecutar los comandos requeridos para rotar las teclas de acceso. Escriba el comando para ver la clave de acceso y el estado de UserDemo:

AWS IAM list-access-keys --user-name userDemo --Profile userAdmin

Un solo usuario de IAM puede tener hasta dos claves de acceso. El usuario que creamos tenía una sola clave, por lo que podemos crear otra clave para el usuario de IAM. Escriba el comando:

AWS IAM Create-Access-Key-User-Name UserDemo --Profile UserAdmin

Esto creará una nueva clave de acceso para el usuario de IAM y mostrará su clave de acceso secreto.

Guarde la clave de acceso secreto asociada con el usuario IAM recién creado en algún lugar del sistema porque la clave de seguridad es una contraseña única, ya sea que se muestra en la consola AWS o la interfaz de línea de comandos.

Para confirmar la creación de la segunda clave de acceso para el usuario de IAM. Escriba el comando:

AWS IAM list-access-keys --user-name userDemo --Profile userAdmin

Esto mostrará ambas credenciales asociadas con el usuario de IAM. Para confirmar desde la consola AWS, vaya a las "Credenciales de seguridad" del usuario de IAM y vea la clave de acceso recién creada para el mismo usuario de IAM.

En la interfaz de usuario de AWS IAM, hay claves de acceso antiguas y recién creadas.

El segundo usuario yo.mi., "UserDemo" no se les otorgó ningún permiso. Entonces, primero, otorgue permisos de acceso S3 para permitir que el usuario acceda a la lista de deseos S3 asociada y luego haga clic en el botón "Agregar permisos".

Seleccione la adjunta de las políticas existentes directamente y luego busque y seleccione el permiso "Amazons3fulLaccess" y marque para otorgarle a este usuario de IAM el permiso para acceder al cubo S3.

De esta manera, se otorga permiso a un usuario de IAM ya creado.

Vea la lista de deseos S3 asociada con el usuario de IAM escribiendo el comando:

AWS S3 LS --Profile UserDemo

Ahora, el usuario puede rotar las claves de acceso del usuario de IAM. Para eso, se necesitan claves de acceso. Escriba el comando:

AWS IAM list-access-keys --user-name userDemo --Profile userAdmin

Haga que la clave de acceso anterior sea "inactiva" copiando la tecla de acceso anterior del usuario de IAM y pegando en el comando:

AWS IAM Update-Access-Key --Ccess-Key-ID AkiazVeSeasbvnkBrfm2--status inactive-user userDemo --Profile userAdmin

Para confirmar si el estado de la clave se ha establecido como inactivo o no, escriba el comando:

AWS IAM list-access-keys --user-name userDemo --Profile userAdmin

Escriba el comando:

AWS Configurar -Profile UserDemo

La clave de acceso que solicita es la inactiva. Entonces, necesitamos configurarlo con la segunda clave de acceso ahora.

Copie las credenciales almacenadas en el sistema.

Pegue las credenciales en la CLI de AWS para configurar el usuario de IAM con nuevas credenciales.

La lista de deseos S3 confirma que el usuario de IAM se ha configurado correctamente con una clave de acceso activo. Escriba el comando:

AWS S3 LS --Profile UserDemo

Ahora, el usuario puede eliminar la clave inactiva ya que el usuario de IAM se le ha asignado una nueva clave. Para eliminar la tecla de acceso anterior, escriba el comando:

AWS IAM Delete-Access-Key --Ccess-Key-ID AkiazVeSeasbvnkbrfm2-User-Name UserDemo --Profile UserAdmins

Para confirmar la eliminación, escriba el comando:

AWS IAM list-access-keys --user-name userDemo --Profile userAdmin

La salida muestra que ahora solo queda una llave.

Finalmente, la clave de acceso se ha girado con éxito. El usuario puede ver la nueva clave de acceso en la interfaz AWS IAM. Habrá una sola clave con una ID de clave que asignamos reemplazando la anterior.

Este fue un proceso completo de girar las claves de acceso de usuario de IAM.

Conclusión

Las claves de acceso se giran para mantener la seguridad de una organización. El proceso de girar las claves de acceso implica crear un usuario de IAM con acceso de administrador y otro usuario de IAM al que el primer usuario de IAM puede acceder con acceso de administrador. Al segundo usuario de IAM se le asigna una nueva clave de acceso a través de AWS CLI, y la más antigua se elimina después de configurar al usuario con una segunda clave de acceso. Después de la rotación, la clave de acceso del usuario de IAM no es la misma que era antes de la rotación.

Programación C
¿Qué significa '/=' en la programación C?
El operador /= es un operador útil en la programación C que realiza la división y la asignación en u...
Homero Ontiveros
Java
Java Dom Parser Ejemplos para analizar XML
Tutorial práctico sobre los usos del analizador Java Dom para leer el contenido de un archivo XML si...
Salvador Anaya
Programación de bash
Cómo eliminar los últimos n caracteres de una cadena en Bash
Los tres métodos para eliminar los últimos n caracteres de una cadena en Bash están utilizando el co...
Homero Ontiveros
Pitón
Convertir una cuerda a json python
Homero Ontiveros
golang
Cómo convertir la cadena al tipo entero en Golang?
Beatriz Enríquez
Potencia Shell
Cómo usar Get-AdpriPalGroupMembership en PowerShell
Salvador Anaya
Mysql mariadb
Cómo encontrar un personaje específico en MySQL?
Pilar Alemán
Base de datos Oracle
Cómo eliminar la secuencia en Oracle?
Carolina Guzmán
c agudo
Romper y continuar las declaraciones en C#
Pilar Alemán
Programación C
¿Qué son las cuerdas en la programación C??
Hernán Delao
c agudo
Cómo usar la palabra clave de lanzar en c#
Hernán Delao
php
Por qué se debe utilizar PHP en el desarrollo web
Carolina Guzmán
c agudo
¿Qué es la expresión del interruptor en C#?
Andrés Barrientos