Odkryłem, że istnieje określony Użytkownikktóry umożliwia programowy dostęp do konta AWS mojej firmy. Zadanie polegało na odtworzeniu klucza dostępu i tokena bezpieczeństwa dla jednego z moich współpracowników, mimo że już go mam. Chcę go dezaktywować. z punktu widzenia bezpieczeństwa lepiej jest mieć tylko jeden klucz dostępu / token niż wielokrotność.
Czy ktoś może mi powiedzieć, czy to dobry wybórmieć? Jeden z moich kolegów zapytał mnie, dlaczego chciałbym to zrobić, a kiedy opowiedziałem mu o moim rozumowaniu, nie sądzę, by był w 100% przekonany, że moje rozumowanie jest dobre. Czy możesz mi powiedzieć, czy istnieją zalety posiadania wielu kluczy dostępu / tajnych kluczy dla tego samego użytkownika? Ponieważ nie mogę wymyślić żadnego. Ponadto, czy możesz podać jakieś artykuły pomocnicze, które by to dotyczyły?
Odpowiedzi:
2 dla odpowiedzi № 1Pod Najlepsze praktyki AWS IAM Access Keys Uważam, że te sekcje mają zastosowanie:
- Używaj różnych kluczy dostępu do różnych aplikacji. Zrób to, aby móc odizolować uprawnieniai unieważnij klucze dostępu dla poszczególnych aplikacji, jeśli klucz dostępu jest ujawniony. Posiadanie oddzielnych kluczy dostępu dla różnych aplikacji generuje również różne wpisy w plikach dziennika AWS CloudTrail, co ułatwia określenie, która aplikacja wykonała określone działania.
- Okresowo obracaj klucze dostępu. Regularnie zmieniaj klucze dostępu. Aby uzyskać szczegółowe informacje, zobacz Obracanie kluczy dostępu (AWS CLI, Narzędzia dla Windows PowerShell i AWS API) w Podręczniku użytkownika IAM i Jak obracać klucze dostępu dla użytkowników IAM na blogu bezpieczeństwa AWS.
Pierwszy przedmiot wyraźnie daje powód do użyciawiele kluczy dostępu z jednego konta IAM. Myślę, że użycie wielu kluczy ułatwiłoby także drugi element, czyli obracanie klawiszy. Możesz utworzyć drugi zestaw kluczy dostępu, przełączyć aplikacje, sprawdzić, czy poprzedni zestaw nie jest już używany do uzyskania dostępu do interfejsu API AWS, a następnie usunąć stary zestaw.
2 dla odpowiedzi nr 2
Nie mam dokumentów do polecania jednego klucza dostępu na użytkownika, ale AWS zaleca regularne obracanie kluczy dostępu. Zobacz Zarządzanie kluczami dostępu dla użytkowników IAM, sekcja zatytułowana „Obracające się klucze dostępu”.
Dlatego, zgodnie z najlepszą praktyką, wykonaj następujące czynności zgodnie z harmonogramem (co 30, 60, 90 dni itp.)
- Utwórz drugi klucz dostępu dla swojego użytkownika
- Gdziekolwiek używasz pierwszego klucza dostępu, zamień go na drugi
- Poczekaj chwilę i sprawdź, czy pierwszy klucz dostępu nie jest używany.
- Po potwierdzeniu wyłącz lub usuń pierwszy klucz dostępu
System dwóch kluczy dostępu ma na to pozwolićrotacja ma miejsce przy jednoczesnym zachowaniu czasu, w którym klucz dostępu jest wyłączany / usuwany, ale nadal jest używany do minimum. Miałem już trochę do czynienia z innymi narzędziami, w których musisz wyłączyć stary klucz podczas generowania nowego klucza. Ponieważ czasem nowe klucze są używane po ich wygenerowaniu.
Jeśli użytkownik potrzebuje więcej niż jednego klucza dostępu, wówczas powinno pojawić się pytanie, dlaczego tak jest, a nie wiele. Korzystanie z wielu użytkowników ma wiele zalet:
- Uprawnienia mogą być bardziej szczegółowe
- W przypadku wycieku klucza jest mniej miejsc, w których należy go wymienić
- Masz lepszą ścieżkę audytu, jakie narzędzia działają na Twoim koncie i kiedy
Z tego powodu zalecam posiadanie tylko jednego klucza dostępu „w terenie”.
Myślę, że naprawdę, jeśli ktoś chce faktycznie użyć 2 kluczy dla jednego użytkownika, jest po prostu leniwy.
Tworzę indywidualnych użytkowników i role IAM dla każdego narzędzia, które potrzebuje dostępu. Nigdy ich nie używam.
Aktualizacja
AWS zaleca obracanie kluczy dostępu zgodnie z harmonogramem.
Źródło: http://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html
Ponadto, ich „howto” w procesie rotacji kluczy wykorzystuje oba przydzielone klucze dostępu dla użytkownika IAM:
Źródło: https://aws.amazon.com/blogs/security/how-to-rotate-access-keys-for-iam-users/
Ergo, cel dla jednego klucza dostępu „w użyciu” na użytkownika IAM w danym momencie.