2017-03-24 10 views
3

회사의 AWS 계정에서 프로그래밍 방식 액세스가 가능한 특정 사용자가 있음을 발견했습니다. 이미 동료 중 한 명이 있음에도 불구하고 내 동료 중 한 명에게 액세스 키와 보안 토큰을 다시 만들어야한다는 과제가있었습니다. 원래의 것을 비활성화하고 싶습니다. 보안상의 관점에서 배수가 아닌 액세스 키/토큰이 하나만있는 것이 좋습니다.동일한 사용자의 다중 액세스 키

아무에게도 이것이 좋은 선택인지 알려 줄 수 있습니까? 제 동료 중 한 명이 왜 제가하고 싶은지 물어 봤고 제가 제 추리를 말했을 때 제 생각이 그가 100 %라고 생각하는 것이 제 추론이 훌륭하다고 확신했습니다. 동일한 사용자에게 여러 개의 액세스 키/비밀 키가있는 것이 어떤 이점이 있는지 말해 줄 수 있습니까? 왜냐하면 나는 어떤 것도 생각할 수 없기 때문이다. 또한이 문제를 다루는 어떤 종류의 보조 기사도 제공해 주실 수 있습니까?

답변

2

AWS IAM Access Keys best practices에서 나는이 부분이 적용 믿습니다 : 다른 응용 프로그램에 대한

  • 를 사용하여 다른 액세스 키를. 액세스 키가 노출 된 경우 개별 응용 프로그램에 대한 사용 권한을 분리하고 액세스 키를 해지 할 수 있도록이 작업을 수행하십시오. 서로 다른 응용 프로그램에 대해 별도의 액세스 키를 사용하면 AWS CloudTrail 로그 파일에 고유 한 항목이 생성되므로 특정 작업을 수행 한 응용 프로그램을보다 쉽게 ​​결정할 수 있습니다.
  • 액세스 키를 주기적으로 회전하십시오. 정기적으로 액세스 키를 변경하십시오. 자세한 내용은 IAM 사용자 가이드에서 액세스 키 회전 (AWS CLI, Windows PowerShell 및 AWS API 용 도구) 및 AWS 보안 블로그에서 IAM 사용자 용 액세스 키 회전 방법을 참조하십시오.

첫 번째 항목에는 단일 IAM 계정으로 여러 액세스 키를 사용하는 이유가 분명합니다. 여러 개의 키를 사용하면 두 번째 항목이 훨씬 편리해집니다. 두 번째 액세스 키 세트를 만들고 응용 프로그램을 전환하고 이전 세트가 AWS API에 액세스하는 데 더 이상 사용되지 않는지 확인한 다음 이전 세트를 삭제할 수 있습니다.

+0

해당 정보 주셔서 감사합니다. 내가 그 기사를 읽었으므로 첫 번째 이유를 간과 했음에 틀림없지 만, 다른 IAM 사용자 (동일하지 않음)에게 적용되어 실제로 많은 의미를 갖게되었다고 생각했기 때문입니다. 오래된 키까지, 나는 그것을 비활성화했으나 그것을 삭제하지는 않았다. – ryekayo

+0

실제로 첫 번째 항목에서는 단일 IAM 사용자 내에서 다중 액세스 키를 오버로드하지 않고 여러 액세스 키를 사용하도록 권장합니다. 또한 "IAM 사용 권한 격리"는 동일한 IAM 사용자의 각 액세스 키에 다른 사용 권한을 부여 할 수 없으므로이를 강화시킵니다. 개별 IAM 사용자를 사용하여 항목 1을 만족시킬 수 있습니다. –

+0

첫 번째 요점을 어떻게 해석하고 있는지에 대해서는 동의하지만, 단일 사용자의 여러 키가 아닌 별도의 사용자가 추적하는 것이 더 쉽다는 것에 동의합니다. –

2

사용자 당 단일 액세스 키를 권장하는 문서가 없지만 AWS는 액세스 키를 정기적으로 회전하도록 권장합니다. Managing Access Keys for IAM Users, "액세스 키 회전"절을 참조하십시오.

그래서 당신은 가장 좋은 방법은 (매 30, 60, 90 일 등)

  1. 이 사용자에 대한 제 2 액세스 키를 만듭니다 정기적으로 다음을 수행해야합니다
  2. 어디든지 당신을 첫 번째 액세스 키를 사용하고, 짧은 대기 시간 두 번째
  3. 로 교체하고, 제 1 액세스 키를 사용하지 않는 확인합니다. 확인 후
  4. , 비활성화하거나 키에 처음 액세스를 삭제
  5. 두 개의 액세스 키 시스템에 사용되는 여전히 액세스 키가 삭제/비활성화 시간을 유지하지만, 반면이 회전이 발생할 수 있도록하는 것입니다

최소. 나는 새로운 키를 생성 할 때 이전 키를 비활성화해야하는 다른 도구에 조금 열중하고 있습니다. 새 키가 생성 된 후 사용하는 데 시간이 걸리기 때문에 가끔씩 발생합니다.

사용자가 하나 개 이상의 액세스 키를 필요로하는 경우

후 하나가 아니라 여러보다, 할 필요가 왜 질문이 있어야합니다.혜택을 사용하여 여러 사용자에게 있습니다

  1. 권한이보다 세분화 될 수
  2. 키가 유출 도착하면, 적은 곳은 교체해야하는 경우가 있습니다
  3. 당신의 더 나은 감사 추적을 가지고있는 도구가 귀하의 계정에서 작동하고있는 경우

이러한 이유로 "필드에 하나의 액세스 키"만 사용하는 것이 좋습니다.

사실, 누군가가 실제로 한 키 사용자를 위해 2 개의 키를 사용하고자한다면, 게으르다 고 생각합니다.

액세스가 필요한 모든 도구에 대해 개별 IAM 사용자 및 역할을 만듭니다. 나는 결코 그들을 재사용하지 않는다.

업데이트

AWS는 정기적으로 액세스 키를 회전하는 것이 좋습니다.

원본 : https://aws.amazon.com/blogs/security/how-to-rotate-access-keys-for-iam-users/

에르고 대상에 대해 하나의 액세스 키 http://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html 또한

가 키 회전 과정에서 자신의 "하우투"는 IAM 사용자 모두에 할당 된 액세스 키를 사용하여 소스

주어진 시간에 IAM 사용자 당 "사용 중"입니다.

+0

고마워, 또 다른 좋은 답변 :) – ryekayo

+0

각 키가 CloudTrail에 분명하게 표시되므로 여러 사용자가 여러 키보다 더 나은 점에 대한 두 번째 사항을 무효화한다고 생각합니다. –

+0

사실, 액세스 키는 AWS 콘솔 GUI가 아닌 JSON에만 표시됩니다. 콘솔은 사용자 이름으로 검색 할 수 있지만 액세스 키는 검색 할 수 없습니다. 그리고 IAM "Access Advisor"는 액세스 키가 아니라 사용자에게 세분화되어 있습니다. 또한 두 개의 액세스 키를 모두 사용하면 키를 회전하는 동안 "배치가 겹치지"않도록 할 수 있습니다. –