Las claves de acceso IAM se giran para mantener las cuentas seguras. Si la clave de acceso se expone accidentalmente a cualquier extraño, existe el riesgo de acceso no auténtico a la cuenta de usuario de IAM con la que está asociada la clave de acceso. Cuando las claves de acceso y acceso secretas siguen cambiando y girando, las posibilidades de acceso no auténtico disminuyen. Por lo tanto, girar las claves de acceso es una práctica recomendada para todas las empresas que utilizan los servicios web de Amazon y las cuentas de usuario de IAM.
El artículo explicará el método de girar las claves de acceso de un usuario de IAM en detalle.
Cómo rotar las teclas de acceso?
Para rotar las claves de acceso de un usuario de IAM, el usuario debe haber instalado AWS CLI antes de comenzar el proceso.
Inicie sesión en la consola AWS y vaya al servicio IAM de AWS y luego cree un nuevo usuario de IAM en la consola de AWS. Nombre al usuario y permita el acceso programático al usuario.
Adjunte las políticas existentes y otorgue al administrador permiso de acceso al usuario al usuario.
De esta manera, se crea el usuario de IAM. Cuando se crea el usuario de IAM, el usuario puede ver sus credenciales. La clave de acceso también se puede ver más tarde en cualquier momento, pero la clave de acceso secreto se muestra como una contraseña única. El usuario no puede verlo más de una vez.
Configurar AWS CLI
Configurar AWS CLI para ejecutar comandos para rotar las teclas de acceso. El usuario primero tiene que configurar utilizando las credenciales del perfil o el usuario de IAM acaba de crear. Para configurar, escriba el comando:
AWS Configurar -Profile UserAdmin
Copie las credenciales de la interfaz de usuario de AWS IAM y péguelas en la CLI.
Escriba la región en la que se ha creado el usuario de IAM y luego un formato de salida válido.
Crear otro usuario de IAM
Crear otro usuario de la misma manera que el anterior, con la única diferencia es que no tiene ningún permiso otorgado.
Nombra el usuario de IAM y marque el tipo de credencial como acceso programático.
Este es el usuario de IAM, cuya clave de acceso está a punto de rotar. Llamamos al usuario "UserDemo".
Configurar el segundo usuario de IAM
Escriba o pegue las credenciales del segundo usuario de IAM en la CLI de la misma manera que el primer usuario.
Ejecutar los comandos
Ambos usuarios de IAM se han configurado a través de AWS CLI. Ahora, el usuario puede ejecutar los comandos requeridos para rotar las teclas de acceso. Escriba el comando para ver la clave de acceso y el estado de UserDemo:
AWS IAM list-access-keys --user-name userDemo --Profile userAdmin
Un solo usuario de IAM puede tener hasta dos claves de acceso. El usuario que creamos tenía una sola clave, por lo que podemos crear otra clave para el usuario de IAM. Escriba el comando:
AWS IAM Create-Access-Key-User-Name UserDemo --Profile UserAdmin
Esto creará una nueva clave de acceso para el usuario de IAM y mostrará su clave de acceso secreto.
Guarde la clave de acceso secreto asociada con el usuario IAM recién creado en algún lugar del sistema porque la clave de seguridad es una contraseña única, ya sea que se muestra en la consola AWS o la interfaz de línea de comandos.
Para confirmar la creación de la segunda clave de acceso para el usuario de IAM. Escriba el comando:
AWS IAM list-access-keys --user-name userDemo --Profile userAdmin
Esto mostrará ambas credenciales asociadas con el usuario de IAM. Para confirmar desde la consola AWS, vaya a las "Credenciales de seguridad" del usuario de IAM y vea la clave de acceso recién creada para el mismo usuario de IAM.
En la interfaz de usuario de AWS IAM, hay claves de acceso antiguas y recién creadas.
El segundo usuario yo.mi., "UserDemo" no se les otorgó ningún permiso. Entonces, primero, otorgue permisos de acceso S3 para permitir que el usuario acceda a la lista de deseos S3 asociada y luego haga clic en el botón "Agregar permisos".
Seleccione la adjunta de las políticas existentes directamente y luego busque y seleccione el permiso "Amazons3fulLaccess" y marque para otorgarle a este usuario de IAM el permiso para acceder al cubo S3.
De esta manera, se otorga permiso a un usuario de IAM ya creado.
Vea la lista de deseos S3 asociada con el usuario de IAM escribiendo el comando:
AWS S3 LS --Profile UserDemo
Ahora, el usuario puede rotar las claves de acceso del usuario de IAM. Para eso, se necesitan claves de acceso. Escriba el comando:
AWS IAM list-access-keys --user-name userDemo --Profile userAdmin
Haga que la clave de acceso anterior sea "inactiva" copiando la tecla de acceso anterior del usuario de IAM y pegando en el comando:
AWS IAM Update-Access-Key --Ccess-Key-ID AkiazVeSeasbvnkBrfm2--status inactive-user userDemo --Profile userAdmin
Para confirmar si el estado de la clave se ha establecido como inactivo o no, escriba el comando:
AWS IAM list-access-keys --user-name userDemo --Profile userAdmin
Escriba el comando:
AWS Configurar -Profile UserDemo
La clave de acceso que solicita es la inactiva. Entonces, necesitamos configurarlo con la segunda clave de acceso ahora.
Copie las credenciales almacenadas en el sistema.
Pegue las credenciales en la CLI de AWS para configurar el usuario de IAM con nuevas credenciales.
La lista de deseos S3 confirma que el usuario de IAM se ha configurado correctamente con una clave de acceso activo. Escriba el comando:
AWS S3 LS --Profile UserDemo
Ahora, el usuario puede eliminar la clave inactiva ya que el usuario de IAM se le ha asignado una nueva clave. Para eliminar la tecla de acceso anterior, escriba el comando:
AWS IAM Delete-Access-Key --Ccess-Key-ID AkiazVeSeasbvnkbrfm2-User-Name UserDemo --Profile UserAdmins
Para confirmar la eliminación, escriba el comando:
AWS IAM list-access-keys --user-name userDemo --Profile userAdmin
La salida muestra que ahora solo queda una llave.
Finalmente, la clave de acceso se ha girado con éxito. El usuario puede ver la nueva clave de acceso en la interfaz AWS IAM. Habrá una sola clave con una ID de clave que asignamos reemplazando la anterior.
Este fue un proceso completo de girar las claves de acceso de usuario de IAM.
Conclusión
Las claves de acceso se giran para mantener la seguridad de una organización. El proceso de girar las claves de acceso implica crear un usuario de IAM con acceso de administrador y otro usuario de IAM al que el primer usuario de IAM puede acceder con acceso de administrador. Al segundo usuario de IAM se le asigna una nueva clave de acceso a través de AWS CLI, y la más antigua se elimina después de configurar al usuario con una segunda clave de acceso. Después de la rotación, la clave de acceso del usuario de IAM no es la misma que era antes de la rotación.