Trouver les AWS informations d'identification non utilisées - AWS Identity and Access Management
Recherche de mots de passe inutilisésRecherche des clés d'accès inutilisées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Trouver les AWS informations d'identification non utilisées

Pour renforcer la sécurité de votre compte Compte AWS, supprimez les informations d'identification utilisateur IAM (c'est-à-dire les mots de passe et les clés d'accès) qui ne sont pas nécessaires. Par exemple, lorsque des utilisateurs quittent votre organisation ou n'ont plus besoin d'y AWS accéder, recherchez les informations d'identification qu'ils utilisaient et assurez-vous qu'elles ne sont plus opérationnelles. Idéalement, supprimez les informations d'identification qui ne sont plus requises. Il est toujours possible de les recréer ultérieurement, si nécessaire. Vous devez au moins modifier le mot de passe ou désactiver les clés d'accès afin que les anciens utilisateurs ne soient plus en mesure de s'en servir.

La signification du mot inutilisées peut bien sûr varier : cela indique généralement que les informations d'identification n'ont pas été utilisées au cours d'un laps de temps spécifié.

Recherche de mots de passe inutilisés

Vous pouvez utiliser le AWS Management Console pour consulter les informations relatives à l'utilisation des mots de passe par vos utilisateurs. Si vous disposez d'un nombre volumineux d'utilisateurs, vous pouvez utiliser la console pour télécharger un rapport d'informations d'identification contenant des données sur la dernière utilisation du mot de passe de console par chaque utilisateur. Vous pouvez également accéder aux informations à partir de l'API AWS CLI ou de l'API IAM.

Pour rechercher les mots de passe inutilisés (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Au besoin, ajoutez la colonne Console last sign-in (Dernière connexion à la console) à la table des utilisateurs :

    1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres ( Settings icon ).

    2. Dans Sélectionner les colonnes visibles, sélectionnez Dernière connexion à la console.

    3. Choisissez Confirmer pour revenir à la liste des utilisateurs.

  4. La colonne Dernière connexion à la console indique la date à laquelle l'utilisateur s'est connecté pour la dernière fois AWS via la console. Ces informations vous permettent de rechercher les utilisateurs avec mots de passe ne s'étant pas connectés depuis une période donnée. La colonne affiche Jamais pour les utilisateurs avec mots de passe ne s'étant jamais connectés. Aucun indique les utilisateurs sans mot de passe. Les mots de passe qui n'ont pas été utilisés récemment peuvent être supprimés.

    Important

    En raison d'un problème de service, les données de dernière d'utilisation du mot de passe n'incluent pas l'utilisation du mot de passe entre le 3 mai 2018 et le 23 mai 2018 22:50 14:08 PDT (heure du Pacifique). Cela affecte les dates de dernière connexion affichées dans la console IAM et les dates de dernière utilisation du mot de passe dans le rapport d'identification IAM, et renvoyées par l'opération d'API. GetUser Si des utilisateurs se sont connectés au cours de la période concernée, la date de dernière d'utilisation du mot de passe renvoyée est la date de la dernière connexion de l'utilisateur avant le 3 mai 2018. Pour les utilisateurs qui se sont connectés après le 23 mai 2018 14:08 PDT, la date de dernière utilisation du mot de passe renvoyée est exacte.

    Si vous utilisez les informations de dernière utilisation du mot de passe pour identifier les informations d'identification non utilisées à supprimer, par exemple en supprimant des utilisateurs qui ne se AWS sont pas connectés au cours des 90 derniers jours, nous vous recommandons d'ajuster votre fenêtre d'évaluation pour inclure les dates postérieures au 23 mai 2018. Par ailleurs, si vos utilisateurs utilisent des clés d'accès pour accéder AWS par programmation, vous pouvez vous référer aux dernières informations utilisées sur les clés d'accès, car elles sont exactes pour toutes les dates.

Pour rechercher les mots de passe inutilisés en téléchargeant le rapport d'informations d'identification (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Rapport sur les informations d'identification.

  3. Choisissez Télécharger le rapport pour télécharger un fichier CSV nommé status_reports_<date>T<time>.csv. La cinquième colonne contient la colonne password_last_used avec les dates ou l'une des mentions suivantes :

    • N/A : utilisateurs auxquels aucun mot de passe n'est affecté.

    • no_information : utilisateurs n'ayant pas utilisé leur mot de passe depuis le 20 octobre 2014, date à laquelle IAM a commencé le suivi de l'âge des mots de passe.

Pour rechercher des mots de passe inutilisés (AWS CLI)

Exécutez la commande suivante pour rechercher les mots de passe inutilisés :

  • aws iam list-users retourne une liste d'utilisateurs, avec une valeur PasswordLastUsed pour chacun. Si la valeur est manquante, cela signifie que l'utilisateur ne dispose pas de mot de passe ou qu'il ne l'a pas utilisé depuis le 20 octobre 2014, date à laquelle IAM a commencé le suivi de l'âge des mots de passe.

Pour trouver les mots de passe inutilisés (AWS API)

Appelez l'opération suivante pour rechercher les mots de passe inutilisés :

  • ListUsers retourne une collection d'utilisateurs, avec une valeur <PasswordLastUsed> pour chacun. Si la valeur est manquante, cela signifie que l'utilisateur ne dispose pas de mot de passe ou qu'il ne l'a pas utilisé depuis le 20 octobre 2014, date à laquelle IAM a commencé le suivi de l'âge des mots de passe.

Pour plus d'informations sur les commandes à utiliser pour le téléchargement du rapport d'informations d'identification, consultez Obtention de rapports d'informations d'identification (AWS CLI).

Recherche des clés d'accès inutilisées

Vous pouvez utiliser le AWS Management Console pour consulter les informations d'utilisation des clés d'accès pour vos utilisateurs. Si vous disposez d'un nombre volumineux d'utilisateurs, vous pouvez utiliser la console pour télécharger un rapport d'informations d'identification pour connaître la dernière utilisation des clés d'accès par chaque utilisateur. Vous pouvez également accéder aux informations à partir de l'API AWS CLI ou de l'API IAM.

Pour rechercher les clés d'accès inutilisées (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Utilisateurs.

  3. Au besoin, ajoutez la colonne Access key last used (Dernière utilisation de clé d'accès) à la table des utilisateurs :

    1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres ( Settings icon ).

    2. Dans Sélectionner les colonnes visibles, sélectionnez Dernière clé d'accès utilisée.

    3. Choisissez Confirmer pour revenir à la liste des utilisateurs.

  4. La colonne Clé d'accès utilisée pour la dernière fois indique le nombre de jours écoulés depuis le dernier accès par AWS programme de l'utilisateur. Ces informations vous permettent de rechercher les utilisateurs avec des clés d'accès n'ayant pas été utilisées depuis une période donnée. La colonne affiche pour les utilisateurs sans clés d'accès. Les clés d'accès qui n'ont pas été utilisées récemment peuvent être supprimées.

Pour rechercher les clés d'accès inutilisées en téléchargeant le rapport d'informations d'identification (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Rapport sur les informations d'identification.

  3. Choisissez Télécharger le rapport pour télécharger un fichier CSV nommé status_reports_<date>T<time>.csv. Les colonnes 11 à 13 contiennent la date, la région et les informations de service de la dernière utilisation pour la clé d'accès 1. Les colonnes 16 à 18 contiennent les mêmes informations pour la clé d'accès 2. La valeur est N/A si l'utilisateur ne dispose pas de clé d'accès ou s'il ne l'a pas utilisée depuis le 22 avril 2015, date à laquelle IAM a commencé le suivi de l'âge des clés d'accès.

Pour rechercher les clés d'accès inutilisées (AWS CLI)

Exécutez les commandes suivantes pour rechercher les clés d'accès inutilisées :

  • aws iam list-access-keys retourne des informations sur les clés d'accès d'un utilisateur, y compris l'AccessKeyID.

  • aws iam get-access-key-last-used utilise un ID de clé d'accès et retourne une sortie qui inclut la LastUsedDate, la Region dans laquelle la clé d'accès a été utilisée la dernière fois et le ServiceName du dernier service demandé. Si la valeur de LastUsedDate est manquante, ceci indique que la clé d'accès n'a pas été utilisée depuis le 22 avril 2015, date à laquelle IAM a commencé le suivi de l'âge des clés d'accès.

Pour trouver les clés d'accès non utilisées (AWS API)

Appelez les opérations suivantes pour rechercher les clés d'accès inutilisées :

  • ListAccessKeys retourne une liste de valeurs AccessKeyID pour les clés d'accès associées à l'utilisateur spécifié.

  • GetAccessKeyLastUsed utilise un ID de clé d'accès et retourne une collection de valeurs. Il s'agit notamment de la LastUsedDate, de la Region dans laquelle la clé d'accès a été utilisée la dernière fois et du ServiceName du dernier service demandé. Si la valeur est manquante, cela signifie que l'utilisateur ne dispose pas de clé d'accès ou qu'il ne l'a pas utilisée depuis le 22 avril 2015, date à laquelle IAM a commencé le suivi de l'âge des clés d'accès.

Pour plus d'informations sur les commandes à utiliser pour le téléchargement du rapport d'informations d'identification, consultez Obtention de rapports d'informations d'identification (AWS CLI).