Cómo rotar las claves de acceso de Amazon S3 para usuarios de IAM

Se le pide que use múltiples credenciales de seguridad para acceder a diferentes áreas de su almacenamiento de AWS. Además de un nombre de usuario y contraseña para la consola de administración de AWS, también necesita claves de acceso para usar la interfaz de línea de comandos AWS (CLI), herramientas AWS para PowerShell o API. Las claves de acceso de AWS S3 de cada IAM consistirán en 2 elementos: una ID de clave y una clave de acceso secreto. Y se recomienda expirar la clave de acceso del usuario de IAM para una mejor seguridad. Las claves de acceso giratorias le permiten acortar el tiempo que un usuario de IAM ve o realiza ajustes a sus recursos de AWS. Esto ayudará a proteger el almacenamiento contra el acceso no autorizado de las claves compartidas o robadas.
Desafortunadamente, AWS no proporciona una solución para forzar la rotación de la clave de acceso. Es por eso que, en este artículo, presentaremos una guía completa sobre cómo rotar las claves de acceso a los usuarios de IAM. 2 casos diferentes de rotación de las claves de acceso AWS IAM caducarán cada 90 días por defecto. Si usa EC2 para ejecutar sus aplicaciones, no se preocupe por la rotación de la clave de acceso. Las credenciales de seguridad se deshabilitarán o renovarán automáticamente después de un cierto tiempo. Sin embargo, si ejecuta las aplicaciones en otro lugar, el proceso de rotación no cumplirá con esta regla automática. Debe agregar la clave de acceso al proceso de administración de aplicaciones.
La configuración de un proceso completo lo libera de la rotación manual de las claves de acceso frecuentes, que pueden asustarlo cada vez que trabaje en él. A continuación se muestra la forma en que puede rotar las claves de acceso de usuario IAM en la consola de administración, AWS CLI y AWS API. Cómo rotar las claves de acceso al usuario de IAM en CLI Hay 5 pasos principales que debe hacer para deshabilitar con éxito la clave de acceso del usuario. Para aclarar el proceso, también le ofrecemos un ejemplo de una clave para un usuario llamado Suzie y le mostrará qué hacer con el ejemplo en cada paso. Antes de ingresar los detalles, no olvide instalar CLI, luego ejecute el siguiente pedido para ver las claves de acceso de Suzie: AWS IAM-ACCESS-KYSYS-Niame Suzie, verá este pedido después de ejecutar CLI para el acceso de Suzie: {
“AccessKeyMetadata”: [
{
“Nombre de usuario”: “Suzie”,
“Estado: Activo”,
“Creatate”: “2021-08-20t18: 49: 57z”,
“AccessKeyid”: “akiai44qh8dhbexample”
}
] } Paso 1: Genere una nueva clave de acceso ahora tiene otra clave de acceso que es la misma que la anterior. Como resultado, el pedido también devolverá de manera similar. Clave de acceso: AWS IAM Create-Access-Key-User-Name Scie su comando {
“Llave de acceso”: {
“Nombre de usuario”: “Suzie”,
“Estado: Activo”,
“Creatate”: “2021-08-30t17: 09: 10.384z”,
“SecretaccessKey”: “wjalrxutnfemi/k7mden/bpxrficyzexampleke”,
“AccessKeyid”: “Akiaiosfodnn7Example”
}
} Entonces puede mostrar ambas claves utilizando el comando List-Access-Keys:
AWS IAM List-Access-Keys-User-Name Suzie
{
“AccessKeyMetadata”: [
{
“Nombre de usuario”: “Suzie”,
“Estado: Activo”,
“Creatate”: “2021-08-20t18: 49: 57z”,
“AccessKeyid”: “akiai44qh8dhbexample”
},
{
“Nombre de usuario”: “Suzie”, “condición”: “activo”,
“Creatate”: “2021-08-30t17: 09: 10.384z”,
“AccessKeyid”: “Akiaiosfodnn7Example”
}
] } Paso 2: Comparta la clave de acceso con todas sus aplicaciones es el momento de actualizar todas sus aplicaciones utilizando la clave de acceso anterior con la nueva. Este importante paso asegura que todas las funciones de la aplicación funcionen correctamente.
Paso 3: Deshabilite la clave de acceso anterior porque usa la nueva clave de acceso, le recomendamos que cambie la condición de las antiguas para deshabilitarlos. Para lograr esto, use el siguiente comando: AWS IAM Update-access-kyy-access-kyy-iid akiai44qh8dhbexample-inactive status-user name luego mostrará su comando a continuación: {
“AccessKeyMetadata”: [

{
“Nombre de usuario”: “Suzie”,
“Estado”: “inactivo”,
“Creatate”: “2013-04-03T18: 49: 57Z”,
“AccessKeyid”: “akiai44qh8dhbexample”
},
{
“Nombre de usuario”: “Suzie”,
“Estado: Activo”,
“Creatate”: “2013-09-06T17: 09: 10.384z”,
“AccessKeyid”: “Akiaiosfodnn7Example”
}
] } Paso 4: asegúrese de que sus aplicaciones funcionen correctamente con las nuevas claves de acceso para asegurarse de que sus aplicaciones sigan funcionando bien con las nuevas claves de acceso, debe deshabilitar las antiguas. Esto le brinda la oportunidad de resolver rápidamente problemas si hay algo mal.
Si las nuevas claves de acceso no funcionan, simplemente reactive la tecla de acceso anterior utilizando el comando AWS IAM UPDATE-Access-Key. Paso 5: Elimine la clave de acceso inactivo que ha alcanzado el último paso para eliminar la clave de acceso inactivo. Puede usar este pedido: AWS IAM DELETE-IS-A-ACID-ACCESS-KYY-IID AKIAI4QH8DHBEXample-Nuume-User debe tener en cuenta que una vez que elimine las claves de acceso, se eliminarán permanentemente. Ninguno de sus usuarios podrán usarlo para enviar solicitudes a sus datos o para reactivar la clave. Cómo rotar las claves de acceso de la AWS API similar a la Guía de claves de acceso de usuario IAM, primero debe hacerlo una segunda clave de acceso usando el comando: CreateCcessKey
Use la nueva clave de acceso para todas las aplicaciones
Verifique que la primera clave de acceso todavía esté en uso GetAccessylastud
Deshabilite el estado de la primera clave de acceso ToDeccessKey
Asegúrese de que sus aplicaciones funcionen correctamente con la nueva clave de acceso
Elimine la primera clave de acceso con esta operación DeleteccessKey
Rotar las claves de acceso a los usuarios de IAM ahora Las claves de acceso permiten a los usuarios usar la interfaz de línea de comandos AWS (CLI), herramientas AWS para PowerShell y API. Debe tener las claves de acceso de los usuarios de IAM para expirar después de un cierto tiempo para asegurar mejor su espacio de almacenamiento.