Obter relatórios de credenciais da sua conta da AWS - AWS Identity and Access Management

Obter relatórios de credenciais da sua conta da AWS

Você pode gerar e fazer o download de um relatório de credenciais que lista todos os usuários em sua conta e o status de diversas credenciais deles, incluindo senhas, chaves de acesso e dispositivos MFA. Você pode obter um relatório de credenciais do AWS Management Console, dos SDKs da AWS e das Ferramentas da linha de comando ou da API do IAM.

Você pode usar os relatórios de credenciais para auxiliar em seus esforços de auditoria e compatibilidade. Você pode usar o relatório para auditar os efeitos dos requisitos de ciclo de vida da credencial, como a mudança da chave de acesso e a senha. Você pode fornecer o relatório a um auditor externo ou conceder permissões a um auditor para que ele possa fazer download do relatório diretamente.

Você pode gerar um relatório de credenciais a cada quatro horas. Quando você solicita um relatório, o IAM primeiro verifica se um relatório da conta da AWS foi gerado nas últimas quatro horas. Se esse for o caso, o relatório mais recente será baixado. Se o relatório mais recente da conta tiver mais de quatro horas ou se não houver relatórios anteriores para a conta, o IAM gerará e baixará um novo relatório.

Permissões obrigatórias

As seguintes permissões são necessárias para criar e fazer download de relatórios:

  • Para criar um relatório de credenciais: iam:GenerateCredentialReport

  • Para fazer download do relatório: iam:GetCredentialReport

Noções básicas sobre o formato do relatório

Os relatórios de credenciais são formatados como arquivos de valores separados por vírgulas (CSV). Você pode abrir arquivos CSV com software de planilha comum para realizar a análise, ou pode criar um aplicativo que consuma os arquivos CSV de forma programática e realize análises personalizadas.

O arquivo CSV contém as seguintes colunas:

user

O nome amigável do usuário.

arn

O nome de recurso da Amazon (ARN) do usuário. (Para obter mais informações sobre ARNs, consulte ARNs do IAM).

user_creation_time

A data e a hora em que o usuário foi criado, no formato de data/hora ISO 8601.

password_enabled

Quando o usuário tem uma senha, esse valor será TRUE. Caso contrário, ele será FALSE. O valor para o usuário raiz da Conta da AWS é sempre not_supported.

password_last_used

A data e a hora em que a senha do usuário raiz da Conta da AWS ou do usuário do IAM foi usada pela última vez para fazer login em um site da AWS, no formato de data/hora ISO 8601. Os sites da AWS que capturam a hora do último acesso de um usuário são o AWS Management Console, os fóruns de discussão da AWS e o AWS Marketplace. Quando uma senha é usada mais de uma vez em um intervalo de 5 minutos, apenas o primeiro uso é gravado nesse campo.

  • O valor nesse campo é no_information nos seguintes casos:

    • A senha do usuário nunca foi usada.

    • Não há dados de login associados à senha, como quando a senha do usuário não tiver sido usada depois que o IAM começou a rastrear essas informações em 20 de outubro de 2014.

  • O valor nesse campo será N/A (não aplicável) quando o usuário não tiver uma senha.

Importante

Devido a um problema de serviço, os dados usados mais recentemente da senha não incluem o uso de senha entre 3 de maio de 2018 22:50 PDT e 23 de maio de 2018 14:08 PDT. Isso afeta as datas de último login mostradas no console do IAM e as datas de última senha usadas no relatório de credencial do IAM e retornadas pela operação da API GetUser. Se os usuários fizerem login durante a hora afetada, a data usada pela última vez na senha retornada será a data em que o usuário fez login pela última vez antes de 3 de maio de 2018. Para usuários que fizeram login depois de 23 de maio de 2018 14:08 PDT, a data usada mais recentemente para a senha retornada será precisa.

Se você usar as informações usadas mais recentemente para a senha para identificar credenciais não utilizadas para exclusão, como excluir usuários que não fizeram login na AWS nos últimos 90 dias, será recomendável ajustar a janela de avaliação para incluir datas após 23 de maio de 2018. Como alternativa, se os usuários usarem chaves de acesso para acessar a AWS de maneira programática, você poderá consultar as informações usadas mais recentemente da chave de acesso, pois elas são precisas para todas as datas.

password_last_changed

A data e a hora em que a senha do usuário foi definida pela última vez no formato de data/hora ISO 8601. Se o usuário não tiver uma senha, o valor nesse campo será N/A (não aplicável). O valor para a conta (root) da AWS é sempre not_supported.

password_next_rotation

Quando a conta tem uma política de senha que requer a mudança de senha, esse campo contém a data e a hora em formato de data/hora ISO 8601, quando o usuário precisa definir uma nova senha. O valor para a conta (root) da AWS é sempre not_supported.

mfa_active

Quando um dispositivo de autenticação multifator (MFA) for ativado para o usuário, esse valor será TRUE. Caso contrário, o valor será FALSE.

access_key_1_active

Quando o usuário tem uma chave de acesso e o status da chave de acesso é Active, esse valor será TRUE. Caso contrário, o valor será FALSE.

access_key_1_last_rotated

A data e a hora, em formato de data/hora ISO 8601, quando a chave de acesso do usuário foi criada ou alterada pela última vez. Se o usuário não tiver uma chave de acesso ativa, o valor nesse campo será N/A (não aplicável).

access_key_1_last_used_date

A data e a hora, em formato de data/hora ISO 8601, quando a chave de acesso do usuário tiver sido usada recentemente para assinar uma solicitação da API da AWS. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo.

O valor nesse campo será N/A (não aplicável) nos seguintes casos:

  • O usuário não tiver uma chave de acesso.

  • A chave de acesso nunca tiver sido usada.

  • A chave de acesso não tiver sido usada depois que o IAM começou a rastrear essas informações em 22 de abril de 2015.

access_key_1_last_used_region

A região da AWS em que a chave de acesso foi usada mais recentemente. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo.

O valor nesse campo será N/A (não aplicável) nos seguintes casos:

  • O usuário não tiver uma chave de acesso.

  • A chave de acesso nunca tiver sido usada.

  • A chave de acesso tiver sido usada pela última vez antes do IAM começar a rastrear essas informações em 22 de abril de 2015.

  • O último serviço usado não for específico da região, como o Amazon S3.

access_key_1_last_used_service

O serviço da AWS que foi acessado recentemente com a chave de acesso. O valor nesse campo usa o namespace do serviço, por exemplo, s3 para o Amazon S3 e ec2 para o Amazon EC2. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo.

O valor nesse campo será N/A (não aplicável) nos seguintes casos:

  • O usuário não tiver uma chave de acesso.

  • A chave de acesso nunca tiver sido usada.

  • A chave de acesso tiver sido usada pela última vez antes do IAM começar a rastrear essas informações em 22 de abril de 2015.

access_key_2_active

Quando o usuário tem uma segunda chave de acesso e o status da segunda chave de acesso é Active, esse valor será TRUE. Caso contrário, o valor será FALSE.

nota

Os usuários podem ter até duas chaves de acesso para facilitar a mudança. Para obter mais informações sobre a mudança de chaves de acesso, consulte Alternar chaves de acesso

access_key_2_last_rotated

A data e a hora, em formato de data/hora ISO 8601, quando a segunda chave de acesso do usuário tiver sido criada ou alterada pela última vez. Se o usuário não tiver uma segunda chave de acesso ativa, o valor nesse campo será N/A (não aplicável).

access_key_2_last_used_date

A data e a hora, em formato de data/hora ISO 8601, quando a segunda chave de acesso do usuário tiver sido usada recentemente para assinar uma solicitação da API da AWS. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo.

O valor nesse campo será N/A (não aplicável) nos seguintes casos:

  • O usuário não tiver uma segunda chave de acesso.

  • A segunda chave de acesso do usuário nunca tiver sido usada.

  • A segunda chave de acesso do usuário tiver sido usada pela última vez antes de o IAM começar a rastrear essas informações em 22 de abril de 2015.

access_key_2_last_used_region

A região da AWS em que a segunda chave de acesso do usuário foi usada mais recentemente. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo. O valor nesse campo será N/A (não aplicável) nos seguintes casos:

  • O usuário não tiver uma segunda chave de acesso.

  • A segunda chave de acesso do usuário nunca tiver sido usada.

  • A segunda chave de acesso do usuário tiver sido usada pela última vez antes de o IAM começar a rastrear essas informações em 22 de abril de 2015.

  • O último serviço usado não for específico da região, como o Amazon S3.

access_key_2_last_used_service

O serviço da AWS que foi acessado recentemente com a segunda chave de acesso do usuário. O valor nesse campo usa o namespace do serviço, por exemplo, s3 para o Amazon S3 e ec2 para o Amazon EC2. Quando uma chave de acesso tiver sido usada mais de uma vez em um intervalo de 15 minutos, apenas o primeiro uso será gravado nesse campo. O valor nesse campo será N/A (não aplicável) nos seguintes casos:

  • O usuário não tiver uma segunda chave de acesso.

  • A segunda chave de acesso do usuário nunca tiver sido usada.

  • A segunda chave de acesso do usuário tiver sido usada pela última vez antes de o IAM começar a rastrear essas informações em 22 de abril de 2015.

cert_1_active

Quando o usuário tem um certificado de assinatura X.509 e o status do certificado é Active, esse valor será TRUE. Caso contrário, o valor será FALSE.

cert_1_last_rotated

A data e a hora, em formato de data/hora ISO 8601, quando o certificado de assinatura do usuário foi criado ou alterado pela última vez. Se o usuário não tiver um certificado de assinatura ativo, o valor nesse campo será N/A (não aplicável).

cert_2_active

Quando o usuário tem um segundo certificado de assinatura X.509 e o status do certificado é Active, esse valor será TRUE. Caso contrário, o valor será FALSE.

nota

Os usuários podem ter até dois certificado de assinatura X.509 para facilitar a mudança do certificado.

cert_2_last_rotated

A data e a hora, em formato de data/hora ISO 8601, quando o segundo certificado de assinatura do usuário foi criado ou alterado pela última vez. Se o usuário não tiver um segundo certificado de assinatura ativo, o valor nesse campo será N/A (não aplicável).

Obter relatórios de credenciais (console)

Você pode usar o AWS Management Console para fazer download de um relatório de credenciais como um arquivo de valores separados por vírgula (CSV).

Para fazer download de um relatório de credenciais (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Relatório de credenciais.

  3. Escolha Download Report (Fazer download do relatório).

Obter relatórios de credenciais (AWS CLI)

Para fazer download um relatório de credenciais (AWS CLI)

  1. Gere um relatório de credenciais. O AWS armazena um único relatório. Se um relatório existir, a geração de um relatório de credenciais substituirá o relatório anterior. aws iam generate-credential-report

  2. Exibir o último relatório gerado: aws iam get-credential-report

Obter relatórios de credenciais (API da AWS)

Para fazer download de um relatório de credenciais (API AWS)

  1. Gere um relatório de credenciais. O AWS armazena um único relatório. Se um relatório existir, a geração de um relatório de credenciais substituirá o relatório anterior. GenerateCredentialReport

  2. Exibir o último relatório gerado: GetCredentialReport