アクセスキーを更新する - AWS Identity and Access Management
IAM ユーザーアクセスキーの更新 (コンソール)アクセスキーの更新 (AWS CLI)アクセスキーの更新 (AWS API)

アクセスキーを更新する

セキュリティのベストプラクティスとして、IAM ユーザーのアクセスキーは、従業員が退職するときなど、必要に応じて更新することをお勧めします。IAM ユーザーは、必要な権限が付与されている場合、自分のアクセスキーを更新できます。

自身のアクセスキーを更新するために管理者からユーザーに IAM ユーザーアクセス許可を付与する方法については、「AWS: IAM ユーザーが [セキュリティ認証情報] ページで自分のパスワード、アクセスキー、および SSH パブリックキーを管理できるようにします」を参照してください。また、アカウントにパスワードポリシーを適用して、すべての IAM ユーザーにパスワードの更新を要求し、その頻度を決めることもできます。詳細については、「IAM ユーザー用のアカウントパスワードポリシーを設定する」を参照してください。

注記

この手順を実行して、紛失したアクセスキーを非アクティブ化し、新しい認証情報に置き換えることができます。

IAM ユーザーアクセスキーの更新 (コンソール)

AWS Management Console からアクセスキーを更新できます。

IAM ユーザーのアプリケーションを中断せずにアクセスキーを更新するには (コンソール)

  1. 最初のアクセスキーがアクティブな間に、2 番目のアクセスキーを作成します。

    1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

    2. ナビゲーションペインで [Users (ユーザー)] を選択します。

    3. 対象のユーザー名を選択し、[セキュリティ認証情報] タブを選択します。

    4. [Access keys (アクセスキー)] セクションで、[Create access key (アクセスキーを作成)] を選択します。[Access key best practices & alternatives] (アクセスキーのベストプラクティスと代替案) ページで、[Other] (その他)、[Next] (次へ) の順に選択します。

    5. (オプション) アクセスキーの説明タグに値を設定して、この IAM ユーザーにタグキーと値のペアを追加します。後で、アクセスキーを識別し、更新する際にこの設定が役立ちます。タグキーには、アクセスキー ID が設定されます。タグ値には、入力したアクセスキーの説明が設定されます。完了したら、[Create access key] (アクセスキーを作成) を選択します。

    6. [Retrieve access keys] (アクセスキーの取得) ページで、[Show] (表示) を選択してユーザーのシークレットアクセスキーの値を表示するか、[Download .csv file] (.csv ファイルをダウンロード) を選択します。これはシークレットアクセスキーを保存する唯一の機会です。シークレットアクセスキーを安全な場所に保存したら、[Done] (完了) を選択します。

      ユーザー用のアクセスキー作成後、キーペアはデフォルトで有効状態になっているので、対象のユーザーはすぐにキーペアを使用できます。この時点で、ユーザーには 2 つのアクティブなアクセスキーがあります。

  2. すべてのアプリケーションとツールを更新して新しいアクセスキーを使用します。

  3. 最も古いアクセスキーの [Last used] (前回使用) を確認して、最初のアクセスキーが使用中かどうかを確認します。先に進む前に、数日間待ってから古いアクセスキーが使用されているかどうかを確認するという方法があります。

  4. [Last used] (前回使用) の情報で、古いキーが使用された形跡がないことを示していても、最初のアクセスキーをすぐには削除しないことをお勧めします。代わりに、[Actions] (アクション)、[Deactivate] (無効化) の順に選択し、最初のアクセスキーを無効化します。

  5. 新しいアクセスキーのみを使用して、アプリケーションが機能しているかどうかを確認してください。この時点で、元のアクセスキーをまだ使用しているツールやアプリケーションは AWS リソースへアクセスできなくなるので、機能が停止されます。そのようなアプリケーションやツールを見つけた場合は、最初のアクセスキーを再度有効にすることができます。次に、「ステップ 3」に戻り、新しいキーを使用するためにこのアプリケーションを更新します。

  6. 一定期間待機して、すべてのアプリケーションとツールが更新されていることを確認した後、最初のアクセスキーを削除できます。

    1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

    2. ナビゲーションペインで [Users (ユーザー)] を選択します。

    3. 対象のユーザー名を選択し、[セキュリティ認証情報] タブを選択します。

    4. 削除するアクセスキーの [Access keys] (アクセスキー) セクションで、[Actions] (アクション) を選択し、次に [Delete] (削除) を選択します。ダイアログの指示に従って、まず [Deactivate] (無効化) を行ってから、削除することを確認します。

どのアクセスキーを更新または削除する必要があるかを判断するには (コンソール)

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users (ユーザー)] を選択します。

  3. 必要に応じて、以下の手順を実行して [Access key age (アクセスキーの古さ)] 列をユーザーテーブルに追加します。

    1. 右端のテーブルの上で、設定アイコン ( Settings icon ) を選択します。

    2. [Manage Columns (列の管理)] で、[Access key age (アクセスキーの古さ)] を選択します。

    3. [Close (閉じる)] を選択して、ユーザーのリストに戻ります。

  4. [Access key age (アクセスキーの古さ)] 列には、最も古いアクティブアクセスキーが作成されてから経過した日数が表示されます。この情報を使用して、更新または削除の必要があるアクセスキーを持つユーザーを検索できます。アクセスキーのないユーザーは、この列に [None (なし)] と表示されます。

アクセスキーの更新 (AWS CLI)

AWS Command Line Interface からアクセスキーを更新できます。

アプリケーションを中断せずにアクセスキーを更新するには (AWS CLI)

  1. 最初のアクセスキーがアクティブな間に、2 番目のアクセスキーを作成します。このキーは、デフォルトでアクティブになります。次のコマンドを実行します。

    • aws iam create-access-key

      この時点で、ユーザーには 2 つのアクティブなアクセスキーがあります。

  2. すべてのアプリケーションとツールを更新して新しいアクセスキーを使用します。

  3. 次のコマンドを使用して最初のアクセスキーがまだ使用されているかどうかを確認します。

    先に進む前に、数日間待ってから古いアクセスキーが使用されているかどうかを確認するという方法があります。

  4. ステップ ステップ 3 で古いキーが使用されていないことがわかっても、最初のアクセスキーはすぐに削除しないことをお勧めします。代わりに、次のコマンドを使用して最初のアクセスキーの状態を Inactive に変更します。

  5. 新しいアクセスキーのみを使用して、アプリケーションが機能しているかどうかを確認してください。この時点で、元のアクセスキーをまだ使用しているツールやアプリケーションは AWS リソースへアクセスできなくなるので、機能が停止されます。このようなアプリケーションまたはツールは、その状態を Active に戻すことで、最初のアクセスキーを再度有効にすることができます。次にステップ ステップ 2 に戻り、新しいキーを使用するようにこのアプリケーションを更新します。

  6. 一定期間待機して、すべてのアプリケーションとツールが更新されたことを確認したら、次のコマンドを使用して最初のアクセスキーを削除できます。

アクセスキーの更新 (AWS API)

AWS API を使用してアクセスキーを更新できます。

アプリケーションを中断せずにアクセスキーを更新するには (AWS API)

  1. 最初のアクセスキーがアクティブな間に、2 番目のアクセスキーを作成します。このキーは、デフォルトでアクティブになります。次のオペレーションを呼び出します。

    • CreateAccessKey

      この時点で、ユーザーには 2 つのアクティブなアクセスキーがあります。

  2. すべてのアプリケーションとツールを更新して新しいアクセスキーを使用します。

  3. 次のオペレーションを呼び出して最初のアクセスキーがまだ使用されているかどうかを確認します。

    先に進む前に、数日間待ってから古いアクセスキーが使用されているかどうかを確認するという方法があります。

  4. ステップ ステップ 3 で古いキーが使用されていないことがわかっても、最初のアクセスキーはすぐに削除しないことをお勧めします。代わりに、次のオペレーションを呼び出して最初のアクセスキーの状態を Inactive に変更します。

  5. 新しいアクセスキーのみを使用して、アプリケーションが機能しているかどうかを確認してください。この時点で、元のアクセスキーをまだ使用しているツールやアプリケーションは AWS リソースへアクセスできなくなるので、機能が停止されます。このようなアプリケーションまたはツールは、その状態を Active に戻すことで、最初のアクセスキーを再度有効にすることができます。次にステップ ステップ 2 に戻り、新しいキーを使用するようにこのアプリケーションを更新します。

  6. 一定期間待機して、すべてのアプリケーションとツールが更新されたことを確認したら、次のオペレーションを呼び出して最初のアクセスキーを削除できます。