사용자 당 단일 액세스 키를 권장하는 문서가 없지만 AWS는 액세스 키를 정기적으로 회전하도록 권장합니다. Managing Access Keys for IAM Users, "액세스 키 회전"절을 참조하십시오.
그래서 당신은 가장 좋은 방법은 (매 30, 60, 90 일 등)
- 이 사용자에 대한 제 2 액세스 키를 만듭니다 정기적으로 다음을 수행해야합니다
- 어디든지 당신을 첫 번째 액세스 키를 사용하고, 짧은 대기 시간 두 번째
- 로 교체하고, 제 1 액세스 키를 사용하지 않는 확인합니다. 확인 후
- , 비활성화하거나 키에 처음 액세스를 삭제
두 개의 액세스 키 시스템에 사용되는 여전히 액세스 키가 삭제/비활성화 시간을 유지하지만, 반면이 회전이 발생할 수 있도록하는 것입니다
최소. 나는 새로운 키를 생성 할 때 이전 키를 비활성화해야하는 다른 도구에 조금 열중하고 있습니다. 새 키가 생성 된 후 사용하는 데 시간이 걸리기 때문에 가끔씩 발생합니다.
사용자가 하나 개 이상의 액세스 키를 필요로하는 경우
후 하나가 아니라 여러보다, 할 필요가 왜 질문이 있어야합니다.혜택을 사용하여 여러 사용자에게 있습니다
- 권한이보다 세분화 될 수
- 키가 유출 도착하면, 적은 곳은 교체해야하는 경우가 있습니다
당신의 더 나은 감사 추적을 가지고있는 도구가 귀하의 계정에서 작동하고있는 경우
이러한 이유로 "필드에 하나의 액세스 키"만 사용하는 것이 좋습니다.
사실, 누군가가 실제로 한 키 사용자를 위해 2 개의 키를 사용하고자한다면, 게으르다 고 생각합니다.
액세스가 필요한 모든 도구에 대해 개별 IAM 사용자 및 역할을 만듭니다. 나는 결코 그들을 재사용하지 않는다.
업데이트
AWS는 정기적으로 액세스 키를 회전하는 것이 좋습니다.
원본 : https://aws.amazon.com/blogs/security/how-to-rotate-access-keys-for-iam-users/
에르고 대상에 대해 하나의 액세스 키 http://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html 또한
가 키 회전 과정에서 자신의 "하우투"는 IAM 사용자 모두에 할당 된 액세스 키를 사용하여 소스
주어진 시간에 IAM 사용자 당 "사용 중"입니다.
해당 정보 주셔서 감사합니다. 내가 그 기사를 읽었으므로 첫 번째 이유를 간과 했음에 틀림없지 만, 다른 IAM 사용자 (동일하지 않음)에게 적용되어 실제로 많은 의미를 갖게되었다고 생각했기 때문입니다. 오래된 키까지, 나는 그것을 비활성화했으나 그것을 삭제하지는 않았다. – ryekayo
실제로 첫 번째 항목에서는 단일 IAM 사용자 내에서 다중 액세스 키를 오버로드하지 않고 여러 액세스 키를 사용하도록 권장합니다. 또한 "IAM 사용 권한 격리"는 동일한 IAM 사용자의 각 액세스 키에 다른 사용 권한을 부여 할 수 없으므로이를 강화시킵니다. 개별 IAM 사용자를 사용하여 항목 1을 만족시킬 수 있습니다. –
첫 번째 요점을 어떻게 해석하고 있는지에 대해서는 동의하지만, 단일 사용자의 여러 키가 아닌 별도의 사용자가 추적하는 것이 더 쉽다는 것에 동의합니다. –