尋找未使用的憑證 - AWS Identity and Access Management

尋找未使用的憑證

若要提高 AWS 帳戶的安全性,請移除不需要的 IAM 使用者憑證 (即密碼和存取金鑰)。例如,當使用者離開您的組織或不再需要存取 AWS 時,請找到使用者所使用的憑證並確保這些憑證不會再被使用。在理想情況下,如果不再需要可刪除憑證。有需要時,您隨時可以在日後重新建立它們。至少您應變更密碼或停用存取金鑰,讓前任持有者無法再繼續存取。

當然,未使用的定義可能有所不同,通常表示在指定期間內未使用的憑證。

尋找未使用的密碼

您可以使用 AWS Management Console 為您的使用者檢視密碼使用的資訊。如果您有大量的使用者,您可以使用主控台來下載憑證報告與有關每位使用者上次使用他們的主控台密碼的資訊。您也可以從 AWS CLI 或 IAM API 存取資訊。

尋找未使用的密碼 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)

  3. 如果必要,請將 Console last sign-in (主控台上次登入) 欄位新增到使用者表格:

    1. 在最右側的表格上方,選擇設定圖示 ( 
                  Settings icon
                )。

    2. Manage Columns (管理欄位) 中,選取 Console last sign-in (主控台上次登入)

    3. 選擇 Close (關閉) 返回使用者清單。

  4. Console last sign-in (主控台上次登入) 欄位顯示使用者上次透過主控台登入 AWS 的日期。您可以使用此資訊來尋找其密碼超過指定期間都沒有登入的使用者。該欄位對於其密碼從未登入的使用者顯示 Never (永不)None (無) 指出使用者無密碼。最近未使用的密碼可能就是待移除的項目。

    重要

    由於服務問題,上次使用密碼的資料不包含從 2018 年 5 月 3 日 22:50 (太平洋日光時間) 到 2018 年 5 月 23 日 14:08 (太平洋日光時間) 使用的密碼。這會影響顯示於 IAM 主控台中的前次登入日期,以及在 IAM 憑證報告中的最後使用密碼日期,並由 GetUser API 操作傳回。如果使用者在受影響的時間登入,傳回的上次使用密碼的日期會是使用者最後一次在 2018 年 5 月 3 日之前登入的日期。對於在 2018 年 5 月 23 日 14:08 (太平洋日光時間) 之後登入的使用者,傳回的上次使用密碼日期會是準確的。

    如果您使用上次使用密碼的資訊來識別要刪除的未使用憑證,例如刪除在過去 90 天內沒有登入 AWS 的使用者,我們建議您調整您的評估時段為包含 2018 年 5 月 23 日之後的日期。或者,如果您的使用者以程式設計方式使用存取金鑰來存取 AWS,您可以參閱上次使用的存取金鑰的資訊,因為它的所有日期均是準確的。

透過下載憑證報告尋找未使用的密碼 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Credential report (憑證報告)

  3. 選擇 Download Report (下載報告) 以下載名稱為 status_reports_<date>T<time>.csv 的逗號分隔值 (CSV) 檔案。第五個欄位包含 password_last_used 欄與日期或以下其中一項:

    • N/A (無) – 完全沒有指派密碼的使用者。

    • no_information (無資訊) – 自從 IAM 在 2014 年 10 月 20 日開始追蹤密碼使用期限,未使用他們密碼的使用者。

若要尋找未使用的密碼 (AWS CLI)

執行以下命令來尋找未使用的密碼:

  • aws iam list-users 傳回使用者清單,每個都有一個 PasswordLastUsed 值。如果缺少值,則表示使用者沒有密碼或者自從 IAM 在 2014 年 10 月 20 日開始追蹤密碼使用期限,未使用密碼。

若要尋找未使用的密碼 (AWS API)

呼叫以下操作來尋找未使用的密碼:

  • ListUsers 傳回使用者集合,每個選項都有 <PasswordLastUsed> 值。如果缺少值,則表示使用者沒有密碼或者自從 IAM 在 2014 年 10 月 20 日開始追蹤密碼使用期限,未使用密碼。

如需關於下載憑證報告的命令的資訊,請參閱 取得憑證報告 (AWS CLI)

尋找未使用的存取金鑰

您可以使用 AWS Management Console 來檢視您使用者的使用存取金鑰的資訊。如果您有大量的使用者,您可以使用主控台來下載憑證報告,以尋找每位使用者上次使用他們的存取金鑰的時間。您也可以從 AWS CLI 或 IAM API 存取資訊。

尋找未使用的存取金鑰 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)

  3. 如有必要,請將 Access key last used (上次使用的存取金鑰) 欄位新增到使用者表格:

    1. 在最右側的表格上方,選擇設定圖示 ( 
                  Settings icon
                )。

    2. Manage Columns (管理欄) 中,選取 Access key last used (上次使用的存取金鑰)。

    3. 選擇 Close (關閉) 返回使用者清單。

  4. Access key last used (上次使用的存取金鑰) 欄位會顯示自從上次使用者以程式設計的方式存取 AWS 後的天數。您可以使用此資訊來尋找存取金鑰超過指定期間都沒有使用的使用者。對於沒有存取金鑰的使用者,該欄會顯示 None (無)。最近未使用的存取金鑰可能就是待移除的項目。

透過下載憑證報告尋找未使用的存取金鑰 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Credential Report (憑證報告)

  3. 選擇 Download Report (下載報告) 以下載名稱為 status_reports_<date>T<time>.csv 的逗號分隔值 (CSV) 檔案。欄位 11 到 13 包含存取金鑰 1 上次使用的日期、區域和服務資訊。欄位 16 到 18 包含存取金鑰 2 的相同資訊。如果使用者沒有存取金鑰,或者使用者自從 IAM 在 2015 年 4 月 22 日開始追蹤存取金鑰使用期限均未使用存取金鑰,該值為 N/A (無)。

若要尋找未使用的存取金鑰 (AWS CLI)

執行以下命令來尋找未使用的存取金鑰:

  • aws iam list-access-keys 傳回有關使用者的存取金鑰的資訊,包括 AccessKeyID

  • aws iam get-access-key-last-used 需要存取金鑰 ID 並會傳回輸出,其中包含上次使用存取金鑰的 LastUsedDateRegion,以及上次所請求服務的 ServiceName。如果缺少 LastUsedDate,則表示自從 IAM 在 2015 年 4 月 22 日開始追蹤存取金鑰使用期限均未使用存取金鑰。

若要尋找未使用的存取金鑰 (AWS API)

呼叫以下操作來尋找未使用的存取金鑰:

  • ListAccessKeys 傳回與指定的使用者關聯之存取金鑰的 AccessKeyID 值清單。

  • GetAccessKeyLastUsed 需要存取金鑰 ID 並會傳回值集合。包含有是上次使用的存取金鑰的 LastUsedDateRegion,以及上次所請求服務的 ServiceName。如果缺少值,則表示使用者沒有存取金鑰,或者自從 IAM 在 2015 年 4 月 22 日開始追蹤存取金鑰使用期限均未使用存取金鑰。

如需關於下載憑證報告的命令的資訊,請參閱 取得憑證報告 (AWS CLI)