Encontrar credenciais não utilizadas - AWS Identity and Access Management

Encontrar credenciais não utilizadas

Para aumentar a segurança da sua conta da AWS remova as credenciais de usuários do IAM (ou seja, senhas e chaves de acesso) que não são necessárias. Por exemplo, quando os usuários deixam sua organização ou não precisam mais de acesso à AWS, localize as credenciais que eles estavam utilizando e certifique-se de que elas não estejam mais operando. O ideal é que você exclua as credenciais se não forem mais necessárias. Você pode sempre recriá-las em posteriormente, se necessário. No mínimo, você deve alterar a senha ou desativar as chaves de acesso para que os usuários antigos não possam mais ter acesso.

Naturalmente, a definição de não usada pode variar e geralmente significa uma credencial que não foi usada durante determinado período.

Encontrar senhas não utilizadas

Você pode usar o AWS Management Console para visualizar informações de uso de senha para seus usuários. Se você tiver um grande número de usuários, você pode usar o console para fazer download de um relatório de credenciais com informações sobre quando cada usuário usou sua senha do console pela última vez. Você também pode acessar as informações da AWS CLI ou da API do IAM.

Para encontrar as senhas não utilizadas (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Se necessário, adicione a coluna Último login no console na tabela dos usuários:

    1. Acima da tabela, no canto direito, selecione o ícone de configurações ( 
                  Settings icon
                ).

    2. Em Gerenciar colunas, selecione Último login no console.

    3. Escolha Fechar para retornar à lista de usuários.

  4. A coluna Console last sign-in (Último login no console) exibe o número de dias desde que o usuário efetuou login na AWS pelo console pela última vez. Você pode usar essas informações para localizar os usuários com senhas que não fizeram login há mais tempo do que o período especificado. A coluna exibe Nunca para usuários com senhas que nunca efetuaram login. Nenhuma indica usuários sem senhas. Senhas que não tenham sido usadas recentemente podem ser bons candidatos para remoção.

    Importante

    Devido a um problema de serviço, os dados usados mais recentemente da senha não incluem o uso de senha entre 3 de maio de 2018 22:50 PDT e 23 de maio de 2018 14:08 PDT. Isso afeta as datas de último login mostradas no console do IAM e as datas de última senha usadas no relatório de credencial do IAM e retornadas pela operação da API GetUser. Se os usuários fizerem login durante a hora afetada, a data usada pela última vez na senha retornada será a data em que o usuário fez login pela última vez antes de 3 de maio de 2018. Para usuários que fizeram login depois de 23 de maio de 2018 14:08 PDT, a data usada mais recentemente para a senha retornada será precisa.

    Se você usar as informações usadas mais recentemente para a senha para identificar credenciais não utilizadas para exclusão, como excluir usuários que não fizeram login na AWS nos últimos 90 dias, será recomendável ajustar a janela de avaliação para incluir datas após 23 de maio de 2018. Como alternativa, se os usuários usarem chaves de acesso para acessar a AWS de maneira programática, você poderá consultar as informações usadas mais recentemente da chave de acesso, pois elas são precisas para todas as datas.

Para encontrar senhas não utilizadas ao fazer download do relatório de credenciais (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Relatório de credenciais.

  3. Selecione Fazer download do relatório para fazer download de um arquivo de valores separados por vírgula (CSV) chamado status_reports_<date>T<time>.csv. A quinta coluna é a coluna password_last_used com as datas ou uma das seguintes opções:

    • N/A (N/D): os usuários que não têm qualquer senha atribuída.

    • no_information: os usuários que não usaram suas senhas desde que o IAM começou a rastrear o tempo de duração das senhas em 20 de outubro de 2014.

Para encontrar senhas não usadas (AWS CLI)

Execute o seguinte comando para encontrar senhas não usadas:

  • aws iam list-users retorna uma lista de usuários, cada um com um valor PasswordLastUsed. Se o valor estiver ausente, o usuário não tem senha ou a senha não foi usada desde que o IAM começou a rastrear o tempo de duração das senhas em 20 de outubro de 2014.

Para encontrar senhas não usadas (API da AWS)

Chame a seguinte operação para encontrar senhas não usadas:

  • ListUsers retorna uma coleção de usuários, cada um com um valor <PasswordLastUsed>. Se o valor estiver ausente, o usuário não tem senha ou a senha não foi usada desde que o IAM começou a rastrear o tempo de duração das senhas em 20 de outubro de 2014.

Para obter informações sobre os comandos para fazer download do relatório de credenciais, consulte Obter relatórios de credenciais (AWS CLI).

Encontrar chaves de acesso não utilizadas

Você pode usar o AWS Management Console para visualizar informações de uso de chaves de acesso para seus usuários. Se você tiver um grande número de usuários, você pode usar o console para fazer download de um relatório de credenciais para descobrir quando cada usuário usou sua chave de acesso pela última vez. Você também pode acessar as informações da AWS CLI ou da API do IAM.

Para localizar chaves de acesso não utilizadas (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Se necessário, adicione a coluna Chave de acesso usada pela última vez na tabela dos usuários:

    1. Acima da tabela, no canto direito, selecione o ícone de configurações ( 
                  Settings icon
                ).

    2. Em Gerenciar colunas, selecione Chave de acesso usada pela última vez.

    3. Escolha Fechar para retornar à lista de usuários.

  4. A coluna Chave de acesso usada pela última vez exibe o número de dias desde que o usuário acessou a AWS de forma programática pela última vez. Você pode usar essas informações para localizar os usuários com chaves de acesso que não tenham sido usadas há mais tempo do que o período especificado. A coluna exibe Nenhuma para usuários sem chaves de acesso. Chaves de acesso que não tenham sido usadas recentemente podem ser bons candidatos para remoção.

Para encontrar chaves de acesso não utilizadas ao fazer download do relatório de credenciais (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Relatório de credenciais.

  3. Selecione Fazer download do relatório para fazer download de um arquivo de valores separados por vírgula (CSV) chamado status_reports_<date>T<time>.csv. As colunas 11 a 13 contêm a última data usada, a região e informações de serviço para a chave de acesso 1. As colunas 16 a 18 contêm as mesmas informações para chave de acesso 2. O valor será N/A (N/D) se o usuário não tiver uma chave de acesso ou se o usuário não tiver usado a chave de acesso desde que o IAM começou a rastrear o tempo de duração das chaves de acesso em 22 de abril de 2015.

Para localizar chaves de acesso não utilizadas (AWS CLI)

Execute os seguintes comandos para encontrar chaves de acesso não utilizadas:

  • aws iam list-access-keys retorna informações sobre as chaves de acesso para um usuário, incluindo o AccessKeyID.

  • aws iam get-access-key-last-used exige um ID de chave de acesso e retorna a saída que inclui a LastUsedDate, Region na qual a chave de acesso foi usada pela última vez e o ServiceName do último serviço solicitado. Se LastUsedDate estiver ausente, significa que a chave de acesso não foi usada desde que o IAM começou a rastrear o tempo de duração das chaves de acesso em 22 de abril de 2015.

Para localizar chaves de acesso não utilizadas (API da AWS)

Chame as seguintes operações para encontrar chaves de acesso não utilizadas:

  • ListAccessKeys retorna uma lista de valores AccessKeyID para chaves de acesso associadas ao usuário especificado.

  • GetAccessKeyLastUsed exige um ID de chave de acesso e retorna um conjunto de valores. Os valores incluem a LastUsedDate, a Region em que a chave de acesso foi usada pela última vez e o ServiceName do último serviço solicitado. Se o valor estiver ausente, significa que o usuário não possui uma chave de acesso ou a chave de acesso não é usada desde que o IAM começou a rastrear o tempo de duração das chaves de acesso em 22 de abril de 2015.

Para obter informações sobre os comandos para fazer download do relatório de credenciais, consulte Obter relatórios de credenciais (AWS CLI).