Plusieurs clés d'accès pour le même utilisateur - amazon-web-services, amazon-iam, aws-cli

J'ai découvert qu'il existe un utilisateur particulierqui est activé pour l'accès programmatique dans le compte AWS de mon entreprise. J'ai été chargé de recréer une clé d'accès et un jeton de sécurité pour l'un de mes collègues, bien qu'il en ait déjà un. Je souhaite désactiver l'original. Je pense que de du point de vue de la sécurité, il est préférable de n'avoir qu'une seule clé d'accès / jeton plutôt que plusieurs.

Quelqu'un peut-il me dire si c'est un bon choix pouravoir? Un de mes collègues m'a demandé pourquoi je voudrais faire cela et quand je lui ai dit mon raisonnement, je ne pense pas qu'il était à 100% convaincu que mon raisonnement était bon. Pouvez-vous me dire s'il y a des avantages à avoir plusieurs clés d'accès / clés secrètes pour le même utilisateur? Parce que je ne peux pas penser à aucun. Aussi, pouvez-vous s'il vous plaît fournir tout type d'articles de soutien qui couvriraient cela?

Réponses:

2 pour la réponse № 1

En dessous de Meilleures pratiques pour les clés d'accès AWS IAM Je crois que ces sections s'appliquent:

• Utilisez différentes clés d'accès pour différentes applications. Faites cela pour pouvoir isoler les autorisationset révoquer les clés d'accès pour des applications individuelles si une clé d'accès est exposée. Le fait d'avoir des clés d'accès distinctes pour différentes applications génère également des entrées distinctes dans les fichiers journaux AWS CloudTrail, ce qui vous permet de déterminer plus facilement quelle application a effectué des actions spécifiques.
• Tournez régulièrement les touches d'accès. Modifiez régulièrement les clés d'accès. Pour plus d'informations, consultez Rotation des clés d'accès (AWS CLI, Outils pour Windows PowerShell et API AWS) dans le Guide de l'utilisateur IAM et Comment faire pivoter les clés d'accès pour les utilisateurs IAM sur le blog de sécurité AWS.

Le premier élément donne clairement une raison d'utiliserplusieurs clés d'accès avec un seul compte IAM. Je pense que l'utilisation de plusieurs clés faciliterait également le deuxième élément, la rotation des clés. Vous pouvez créer un deuxième jeu de clés d'accès, basculer vos applications, vérifier que le jeu précédent n'est plus utilisé pour accéder à l'API AWS, puis supprimer l'ancien jeu.

---

2 pour la réponse № 2

Je n'ai pas de documentation pour recommander une seule clé d'accès par utilisateur, mais AWS recommande de faire tourner régulièrement les clés d'accès. Voir Gestion des clés d'accès pour les utilisateurs IAM, la section intitulée "Rotation des clés d'accès".

Donc, vous devriez, comme meilleure pratique, faire ce qui suit sur un horaire régulier (tous les 30, 60, 90 jours, etc.)

1. Créez une deuxième clé d'accès pour votre utilisateur
2. Partout où vous utilisez la première clé d'accès, remplacez-la par la deuxième
3. Attendez un court instant et vérifiez que la première clé d'accès n'est pas utilisée.
4. Après confirmation, désactivez ou supprimez la première clé d'accès

Le système à deux clés d'accès doit permettrerotation à se produire tout en gardant le temps où une clé d'accès est désactivée / supprimée, mais toujours utilisée au minimum. "J'ai été mordu dans d'autres outils où vous devez désactiver l'ancienne clé lorsque vous générez une nouvelle clé. Parce que parfois, il faut du temps pour mettre les nouvelles clés en service après leur" génération.

Si un utilisateur a besoin de plus d'une clé d'accès, alors il devrait y avoir une question pourquoi une doit être, plutôt que plusieurs. L'utilisation de plusieurs utilisateurs présente des avantages:

1. Les autorisations peuvent être plus précises
2. En cas de fuite d'une clé, il y a moins d'endroits où elle doit être remplacée
3. Vous avez une meilleure piste d'audit des outils qui agissent sur votre compte et quand

Pour ces raisons, je recommande de n'avoir qu'une seule clé d'accès "sur le terrain".

Je pense vraiment que si quelqu'un veut réellement utiliser 2 clés pour un seul utilisateur, il est juste paresseux.

Je crée des utilisateurs et des rôles IAM individuels pour chaque outil qui a besoin d'accéder. Je ne les réutilise jamais.

Mettre à jour

AWS recommande de faire pivoter les clés d'accès régulièrement.

La source: http://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html

De plus, leur "howto" sur le processus de rotation des clés utilise les deux clés d'accès allouées sur un utilisateur IAM:

La source: https://aws.amazon.com/blogs/security/how-to-rotate-access-keys-for-iam-users/

Ergo, ciblez une clé d'accès "en cours d'utilisation" par utilisateur IAM à tout moment.

---