Atualizar chaves de acesso - AWS Identity and Access Management
Atualização das chaves de acesso do usuário do IAM (console)Atualização das chaves de acesso (AWS CLI)Atualização de chaves de acesso (API da AWS)

Atualizar chaves de acesso

Como melhor prática de segurança, sugerimos atualizar as chaves de acesso do usuário do IAM quando necessário, por exemplo, quando um funcionário sair da sua empresa. Os usuários do IAM poderão atualizar suas próprias chaves de acesso se tiverem recebido as permissões necessárias.

Para obter detalhes sobre a concessão de permissões aos usuários do IAM para atualizar suas próprias chaves de acesso, consulte AWS: permite que os usuários do IAM gerenciem suas próprias senhas, chaves de acesso e chaves públicas SSH na página Credenciais de segurança. Você também pode aplicar uma política de senha à sua conta para exigir que todos os seus usuários do IAM atualizem suas senhas periodicamente e definir a frequência com a qual eles devem fazer isso. Para ter mais informações, consulte Definir uma política de senhas de contas para usuários do IAM.

nota

Use esse procedimento para desativar e substituir chaves de acesso perdidas por novas credenciais.

Atualização das chaves de acesso do usuário do IAM (console)

É possível atualizar as chaves de acesso via AWS Management Console.

Para atualizar as chaves de acesso de um usuário do IAM sem interromper suas aplicações (console)

  1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso.

    1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

    2. No painel de navegação, escolha Usuários.

    3. Selecione o nome do usuário desejado e, em seguida, selecione a guia Credenciais de segurança.

    4. Na seção Chaves de acesso, escolha Criar chave de acesso. Na página Access key best practices & alternatives (Práticas recomendadas e alternativas da chave de acesso), escolha Other (Outro) e escolha Next (Avançar).

    5. (Opcional) Defina um valor de etiqueta de descrição para a chave de acesso para adicionar um par chave-valor de etiqueta a esse usuário do IAM. Isso pode ajudar a identificar e a atualizar as chaves de acesso posteriormente. A chave da etiqueta é definida como o ID da chave de acesso. O valor da etiqueta é definido com a descrição da chave de acesso que você especifica. Quando terminar, escolha Create access key (Criar chave de acesso).

    6. Na página Retrieve access keys (Recuperar chaves de acesso), escolha Show (Exibir) para revelar o valor da chave de acesso secreta do usuário ou Download .csv file (Baixar o arquivo.csv). Essa é a única oportunidade de salvar a chave de acesso secreta. Depois de salvar a chave de acesso secreta em um local seguro, escolha Done (Concluído).

      Quando você cria uma chave de acesso para seu usuário, o par de chaves é ativo por padrão, e você pode usar o par imediatamente. Neste momento, o usuário terá duas chaves de acesso ativas.

  2. Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

  3. Determine se a primeira chave de acesso ainda está em uso, analisando a informação Last used (Usado pela última vez) da chave de acesso mais antiga. Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

  4. Mesmo se a informação Last used (Usada pela última vez) indicar que a chave antiga nunca foi usada, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, escolha Actions (Ações) e escolha Deactivate (Desativar) para desativar a primeira chave de acesso.

  5. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, você poderá reativar a primeira chave de acesso. Em seguida, retorne a Passo 3 e atualize esse aplicativo para usar a nova chave.

  6. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso:

    1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

    2. No painel de navegação, escolha Usuários.

    3. Selecione o nome do usuário desejado e, em seguida, selecione a guia Credenciais de segurança.

    4. Na seção Access keys (Chaves de acesso) da chave de acesso que deseja excluir, escolha Actions (Ações) e escolha Delete (Excluir). Siga as instruções na caixa de diálogo para primeiro Deactivate (Desativar) e depois confirme a exclusão.

Para determinar quais chaves de acesso precisam ser atualizadas ou excluídas (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Se necessário, adicione a coluna Idade da chave de acesso à tabela de usuários concluindo as etapas a seguir:

    1. Acima da tabela, no canto direito, selecione o ícone de configurações ( Settings icon ).

    2. Em Gerenciar colunas, selecione Idade da chave de acesso.

    3. Escolha Fechar para retornar à lista de usuários.

  4. A coluna Idade da chave de acesso mostra o número de dias desde que a chave de acesso ativa mais antiga foi criada. É possível usar essas informações para encontrar usuários com chaves de acesso que precisem ser atualizadas ou excluídas. A coluna exibe Nenhum para usuários sem chaves de acesso.

Atualização das chaves de acesso (AWS CLI)

É possível atualizar as chaves de acesso via AWS Command Line Interface.

Para atualizar chaves de acesso sem interromper suas aplicações (AWS CLI)

  1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso, que é ativada por padrão. Execute o seguinte comando:

  2. Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

  3. Determinar se a primeira chave de acesso ainda está em uso por meio deste comando:

    Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

  4. Mesmo se etapa Passo 3 indicar que não há uso da chave antiga, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, altere o estado da primeira chave de acesso para Inactive usando este comando:

  5. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, alterne o estado para Active para reativar a primeira chave de acesso. Em seguida, retorne à etapa Passo 2 e atualize esse aplicativo para usar a nova chave.

  6. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso com este comando:

Atualização de chaves de acesso (API da AWS)

É possível atualizar chaves de acesso usando a API da AWS.

Para atualizar chaves de acesso sem interromper suas aplicações (API da AWS)

  1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso, que é ativada por padrão. Chame a seguinte operação:

    • CreateAccessKey

      Neste momento, o usuário terá duas chaves de acesso ativas.

  2. Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

  3. Determinar se a primeira chave de acesso ainda está em uso chamando esta operação:

    Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

  4. Mesmo se etapa Passo 3 indicar que não há uso da chave antiga, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, altere o estado da primeira chave de acesso para Inactive chamando esta operação:

  5. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar uma aplicação ou ferramenta nessa situação, alterne o estado para Active para reativar a primeira chave de acesso. Em seguida, retorne à etapa Passo 2 e atualize esse aplicativo para usar a nova chave.

  6. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso chamando esta operação: