Gerenciamento de chaves de acesso de usuários do IAM - AWS Identity and Access Management

Gerenciamento de chaves de acesso de usuários do IAM

nota

Se você encontrou esta página porque está procurando informações sobre a API Product Advertising para vender produtos da Amazon em seu site, consulte a Documentação da Product Advertising API 5.0.

As chaves de acesso são credenciais de longo prazo para um usuário do IAM ou o usuário raiz da Conta da AWS. Você pode usar chaves de acesso para assinar solicitações programáticas na AWS CLI ou na API da AWS (diretamente ou usando o SDK da AWS). Para obter mais informações, consulte Assinatura de solicitações da API da AWS na Referência geral da Amazon Web Services.

As chaves de acesso consistem em duas partes: um ID de chave de acesso (por exemplo, AKIAIOSFODNN7EXAMPLE) e uma chave de acesso secreta (por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Como um nome de usuário e uma senha, você deve usar o ID da chave de acesso e a chave de acesso secreta em conjunto para autenticar suas solicitações. Gerencie suas chaves de acesso de forma tão segura quanto você gerencia seu nome de usuário e sua senha.

Importante

Não forneça as chaves de acesso a terceiros, mesmo que seja para ajudar a encontrar o ID de usuário canônico. Ao fazer isso, você pode dar a alguém acesso permanente à sua conta.

Como prática recomendada, use credenciais de segurança temporárias (funções do IAM) em vez de chaves de acesso, e desabilite todas as chaves de acesso do usuário raiz da Conta da AWS. Para obter mais informações, consulte Práticas recomendadas para gerenciar chaves de acesso da AWS na Referência geral do Amazon Web Services.

Se ainda precisar usar chaves de acesso de longo prazo, você poderá criar, modificar, exibir ou mudar chaves de acesso (IDs de chave de acesso e chaves de acesso secretas). Você pode ter no máximo duas chaves de acesso. Isso permite que você alterne as chaves ativas de acordo com as práticas recomendadas.

Ao criar um par de chaves de acesso, salve o ID de chave de acesso e a chave de acesso secreta em um local seguro. A chave de acesso secreta só está disponível no momento em que é criada. Se tiver perdido a chave de acesso secreta, você deverá excluir a chave de acesso e criar uma nova. Para obter mais detalhes, consulte Redefinição de senhas perdidas ou esquecidas ou chaves de acesso para a AWS.

Permissões obrigatórias

Para criar chaves de acesso para seu próprio usuário do IAM, você deve ter as permissões na seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:GetUser", "iam:ListAccessKeys" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

Para alternar chaves de acesso para seu próprio usuário do IAM, você deve ter as permissões na seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:GetAccessKeyLastUsed", "iam:GetUser", "iam:ListAccessKeys", "iam:UpdateAccessKey" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

Gerenciar chaves de acesso (console)

Você pode usar o AWS Management Console para gerenciar as chaves de acesso de um usuário do IAM.

Para criar, modificar ou excluir as chaves de acesso de seu próprio usuário do IAM (console)

  1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no console do IAM.

    nota

    Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha Sign in to a different account (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

    Para obter o ID da conta da AWS, entre em contato com o administrador.

  2. Na barra de navegação no canto superior direito, selecione seu nome de usuário e selecione My Security Credentials (Minhas credenciais de segurança).

    
                  Link para My Security Credentials (Minhas credenciais de segurança) do Console de Gerenciamento da AWS
  3. Expanda a seção Chaves de acesso (ID de chave de acesso e chave de acesso secreta).

  4. Faça o seguinte:

    • Para criar uma chave de acesso, selecione Criar nova chave de acesso. Se esse recurso estiver desabilitado, você deverá excluir uma das chaves de acesso existentes antes de criar outra. Um aviso explica que você tem apenas esta oportunidade para visualizar ou fazer download da chave de acesso secreta. Para copiar a chave e colá-la em outro lugar para proteção, escolha Mostrar chave de acesso. Para salvar o ID da chave de acesso e a chave de acesso secreta em um arquivo .csv em um local seguro no computador, escolha Fazer download do arquivo de chave.

    • Para desabilitar uma chave de acesso ativa, selecione Tornar inativa.

    • Para reativar uma chave de acesso inativa, selecione Tornar ativa.

    • Para excluir a chave de acesso, escolha Delete (Excluir). O AWS recomenda que antes de fazer isso, você primeiro desative a chave e verifique se ela não está mais em uso. Ao usar o AWS Management Console, você deve desativar a chave antes de excluí-la.

Para criar, modificar ou excluir as chaves de acesso de outro usuário do IAM (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha o nome do usuário cujas chaves de acesso você deseja gerenciar e a guia Security credentials (Credenciais de segurança).

  4. Na seção Access Keys (Chaves de acesso), execute uma das seguintes ações:

    • Para criar uma chave de acesso, selecione Criar chave de acesso. Em seguida, selecione o arquivo Download.csv para salvar o ID de chave de acesso e a chave de acesso secreta em um arquivo CSV em seu computador. Armazene o arquivo em um lugar seguro. Você não terá mais acesso à chave de acesso secreta depois que essa caixa de diálogo for fechada. Depois de baixar do arquivo CSV, selecione Close (Fechar). Quando você cria uma chave de acesso, o par de chaves é ativo por padrão, e você pode usar o par imediatamente.

    • Para desabilitar uma chave de acesso ativa, selecione Tornar inativo.

    • Para habilitar novamente uma chave de acesso inativa, selecione Tornar ativo.

    • Para excluir a chave de acesso, escolha Delete (Excluir). O AWS recomenda que antes de fazer isso, você primeiro desative a chave e verifique se ela não está mais em uso. Ao usar o AWS Management Console, você deve desativar a chave antes de excluí-la.

Para listar as chaves de acesso de um usuário do IAM (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Selecione o nome do usuário desejado e, em seguida, selecione a guia Credenciais de segurança. As chaves de acesso do usuário e o status de cada chave serão exibidos.

    nota

    Somente o ID de chave de acesso do usuário é visível. A chave de acesso secreta só pode ser recuperada quando a chave é criada.

Para listar os IDs das chave de acesso de vários usuários do IAM (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Se necessário, adicione a coluna Access key ID à tabela de usuários concluindo as etapas a seguir:

    1. Acima da tabela, no canto direito, selecione o ícone de configurações ( 
                           Settings icon
                        ).

    2. Em Gerenciar colunas, selecione ID de chave de acesso.

    3. Escolha Fechar para retornar à lista de usuários.

  4. A coluna Access key ID (ID de chave de acesso) exibe cada ID de chave de acesso, seguido por seu estado; por exemplo, 23478207027842073230762374023 (Ativo) ou 22093740239670237024843420327 (Inativo).

    Você pode usar essas informações para visualizar e copiar as chaves de acesso para os usuários com uma ou duas chaves de acesso. A coluna exibe Nenhum para usuários sem chaves de acesso.

    nota

    Somente o ID de chave de acesso do usuário e o status são visíveis. A chave de acesso secreta só pode ser recuperada quando a chave é criada.

Para encontrar qual usuário do IAM tem uma determinada chave de acesso (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Na caixa de pesquisa, digite ou cole o ID de chave de acesso do usuário que você deseja encontrar.

  4. Se necessário, adicione a coluna Access key ID à tabela de usuários concluindo as etapas a seguir:

    1. Acima da tabela, no canto direito, selecione o ícone de configurações ( 
                           Settings icon
                        ).

    2. Em Gerenciar colunas, selecione ID de chave de acesso.

    3. Selecione Fechar para retornar à lista de usuários e confirmar que o usuário filtrado tem a chave de acesso.

Gerenciar chaves de acesso (AWS CLI)

Para gerenciar as chaves de acesso de um usuário do IAM da AWS CLI, execute os comandos a seguir.

Gerenciar chaves de acesso (API da AWS)

Para gerenciar as chaves de acesso de um usuário do IAM da API da AWS, chame as operações a seguir.

Alternar chaves de acesso

Como prática recomendada de segurança, recomendamos alternar (alterar) regularmente as chaves de acesso do usuário do IAM. Se o administrador tiver concedido as permissões necessárias, você poderá mudar as próprias chaves de acesso.

Administradores, para obter detalhes sobre como conceder a usuários permissões para alternar as próprias chaves de acesso, consulte AWS: permite que os usuários do IAM gerenciem suas próprias senhas, chaves de acesso e chaves públicas SSH na página My security credentials (Minhas credenciais de segurança). Você também pode aplicar uma política de senha à sua conta para exigir que todos os seus usuários do IAM alternem suas senhas periodicamente. Você pode escolher a frequência com que isso deve ser feito. Para mais informações, consulte Definição de uma política de senhas de contas para usuários do IAM.

Importante

Como prática recomendada, não use o usuário raiz da Conta da AWS. Se você usar as credenciais do usuário raiz da Conta da AWS, recomendamos que também as alterne regularmente. A política de senhas de contas não se aplica às credenciais de usuário raiz. Os usuários do IAM não podem gerenciar as credenciais do usuário raiz da Conta da AWS, portanto, você deve usar as credenciais de usuário raiz (e não de um usuário) para alterar as credenciais de usuário raiz. Observe que não recomendamos o uso do usuário raiz para executar tarefas cotidianas na AWS.

Alternar chaves de acesso do usuário do IAM (console)

Você pode alternar chaves de acesso do AWS Management Console.

Para alternar as chaves de acesso para um usuário do IAM sem interromper suas aplicações (console)

  1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso.

    1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

    2. No painel de navegação, escolha Usuários.

    3. Selecione o nome do usuário desejado e, em seguida, selecione a guia Credenciais de segurança.

    4. Selecione Criar chave de acesso e, em seguida, selecione o arquivo Download.csv para salvar o ID da chave de acesso e a chave de acesso secreta em um arquivo .csv em seu computador. Armazene o arquivo em um lugar seguro. Você não terá mais acesso à chave de acesso secreta depois que essa caixa de diálogo for fechada. Depois que tiver feito download do arquivo .csv, selecione Fechar.

      A nova chave de acesso permanece ativa por padrão. Neste momento, o usuário terá duas chaves de acesso ativas.

  2. Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

  3. Determine se a primeira chave de acesso ainda está em uso, analisando a coluna Usado pela última vez da chave de acesso mais antiga. Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

  4. Mesmo se o valor da coluna Usado pela última vez indicar que a chave antiga nunca foi usada, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, selecione Tornar inativo para desativar a primeira chave de acesso.

  5. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar um aplicativo ou ferramenta nessa situação, você pode selecionar Tornar ativo para reativar a primeira chave de acesso. Em seguida, retorne a Passo 3 e atualize esse aplicativo para usar a nova chave.

  6. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso:

    1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

    2. No painel de navegação, escolha Usuários.

    3. Selecione o nome do usuário desejado e, em seguida, selecione a guia Credenciais de segurança.

    4. Localize a chave de acesso para excluir e escolha o botão X no canto direita da linha. Digite o ID da chave de acesso para confirmar a exclusão e escolha Delete (Excluir).

Para determinar quando chaves de acesso precisam de mudança (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Se necessário, adicione a coluna Idade da chave de acesso à tabela de usuários concluindo as etapas a seguir:

    1. Acima da tabela, no canto direito, selecione o ícone de configurações ( 
                              Settings icon
                           ).

    2. Em Gerenciar colunas, selecione Idade da chave de acesso.

    3. Escolha Fechar para retornar à lista de usuários.

  4. A coluna Idade da chave de acesso mostra o número de dias desde que a chave de acesso ativa mais antiga foi criada. Você pode usar essas informações para localizar os usuários com chaves de acesso que precisam de mudança. A coluna exibe Nenhum para usuários sem chaves de acesso.

Alternar chaves de acesso (AWS CLI)

Você pode alternar chaves de acesso do AWS Command Line Interface.

Para mudar as chaves de acesso sem interromper seus aplicativos (AWS CLI)

  1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso, que é ativada por padrão. Execute o seguinte comando :

  2. Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

  3. Determinar se a primeira chave de acesso ainda está em uso por meio deste comando:

    Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

  4. Mesmo se etapa Passo 3 indicar que não há uso da chave antiga, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, altere o estado da primeira chave de acesso para Inactive usando este comando:

  5. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar um aplicativo ou ferramenta nessa situação, altere seu estado de volta para Active para reativar a primeira chave de acesso. Em seguida, retorne à etapa Passo 2 e atualize esse aplicativo para usar a nova chave.

  6. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso com este comando:

Para obter mais informações, consulte as informações a seguir.

Alternar chaves de acesso (API da AWS)

Você pode alternar chaves de acesso usando a API da AWS.

Para mudar as chaves de acesso sem interromper seus aplicativos (API da AWS)

  1. Embora a primeira chave de acesso ainda esteja ativa, crie uma segunda chave de acesso, que é ativada por padrão. Chame a seguinte operação:

    • CreateAccessKey

      Neste momento, o usuário terá duas chaves de acesso ativas.

  2. Atualize todos os aplicativos e ferramentas para usarem a nova chave de acesso.

  3. Determinar se a primeira chave de acesso ainda está em uso chamando esta operação:

    Uma maneira é esperar vários dias e depois verificar se a chave de acesso antiga foi usada antes de prosseguir.

  4. Mesmo se etapa Passo 3 indicar que não há uso da chave antiga, recomendamos que você não exclua imediatamente a primeira chave de acesso. Em vez disso, altere o estado da primeira chave de acesso para Inactive chamando esta operação:

  5. Use somente a nova chave de acesso para confirmar que seus aplicativos estão funcionando. Todos os aplicativos e ferramentas que ainda usarem a chave de acesso original deixarão de funcionar nesse momento, pois eles não terão mais acesso aos recursos da AWS. Se encontrar um aplicativo ou ferramenta nessa situação, altere seu estado de volta para Active para reativar a primeira chave de acesso. Em seguida, retorne à etapa Passo 2 e atualize esse aplicativo para usar a nova chave.

  6. Depois de aguardar um período para garantir que todos os aplicativos e as ferramentas sejam atualizadas, você poderá excluir a primeira chave de acesso chamando esta operação:

Para obter mais informações, consulte as informações a seguir.

Fazer auditoria de chaves de acesso

Você pode revisar as chaves de acesso da AWS em seu código para determinar se as chaves são de uma conta que você possui. Você pode transmitir um ID da chave de acesso usando o comando aws sts get-access-key-info da AWS CLI ou a operação de API GetAccessKeyInfo da AWS.

As operações de API da AWS e da AWS CLI retornam o ID da conta da AWS à qual a chave de acesso pertence. Os IDs da chave de acesso que começam com AKIA são credenciais de longo prazo para um usuário do IAM ou um usuário raiz da Conta da AWS. Os IDs de chave de acesso que começam com ASIA são credenciais temporárias que são criadas usando operações do AWS STS. Se a conta na resposta pertencer a você, você poderá fazer login como usuário raiz e revisar suas chaves de acesso de usuário raiz. Em seguida, você pode obter um relatório de credenciais para saber qual usuário do IAM é o proprietário das chaves. Para saber quem solicitou as credenciais temporárias para uma chave de acesso ASIA, visualize os eventos do AWS STS nos logs do CloudTrail.

Por motivos de segurança, você pode revisar logs do AWS CloudTrail para saber quem executou uma ação na AWS. Você pode usar a chave de condição sts:SourceIdentity na política de confiança da função para exigir que os usuários especifiquem uma identidade quando assumirem uma função. Por exemplo, você pode exigir que os usuários do IAM especifiquem seu próprio nome de usuário como a identidade-fonte. Isso pode ajudar você a determinar qual usuário executou uma ação específica na AWS. Para mais informações, consulte sts:SourceIdentity.

Essa operação não indica o estado da chave de acesso. A chave pode estar ativa, inativa ou excluída. As chaves ativas podem não ter permissões para executar uma operação. Fornecer uma chave de acesso excluída pode retornar um erro informando que a chave não existe.