尋找未使用的 AWS 憑 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

尋找未使用的 AWS 憑

若要提高您的安全性 AWS 帳戶,請移除不需要的 IAM 使用者登入資料 (也就是密碼和存取金鑰)。例如,當使用者離開您的組織或不再需要 AWS 存取權時,請尋找他們正在使用的認證,並確定他們不再運作。在理想情況下,如果不再需要可刪除憑證。有需要時,您隨時可以在日後重新建立它們。至少您應變更密碼或停用存取金鑰,讓前任持有者無法再繼續存取。

當然,未使用的定義可能有所不同,通常表示在指定期間內未使用的憑證。

尋找未使用的密碼

您可以使用檢視 AWS Management Console 使用者的密碼使用資訊。如果您有大量的使用者,您可以使用主控台來下載憑證報告與有關每位使用者上次使用他們的主控台密碼的資訊。您也可以從 AWS CLI 或 IAM API 存取這些資訊。

尋找未使用的密碼 (主控台)
  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)

  3. 如果必要,請將 Console last sign-in (主控台上次登入) 欄位新增到使用者表格:

    1. 在最右側的表格上方,選擇設定圖示 ( 
                  Settings icon
                )。

    2. 選取可見欄 中選取 主控台上次登入

    3. 選擇 確認 返回使用者清單。

  4. [主控台上次登入] 欄會顯示使用者上次 AWS 透過主控台登入的日期。您可以使用此資訊來尋找其密碼超過指定期間都沒有登入的使用者。該欄位對於其密碼從未登入的使用者顯示 Never (永不)None (無) 指出使用者無密碼。最近未使用的密碼可能就是待移除的項目。

    重要

    由於服務問題,上次使用密碼的資料不包含從 2018 年 5 月 3 日 22:50 (太平洋日光時間) 到 2018 年 5 月 23 日 14:08 (太平洋日光時間) 使用的密碼。這會影響 IAM 主控台中顯示的上次登入日期,以及 IAM 登入資料報告中的密碼上次使用日期,以及 GetUser API 作業傳回的密碼。如果使用者在受影響的時間登入,傳回的上次使用密碼的日期會是使用者最後一次在 2018 年 5 月 3 日之前登入的日期。對於在 2018 年 5 月 23 日 14:08 (太平洋日光時間) 之後登入的使用者,傳回的上次使用密碼日期會是準確的。

    如果您使用上次使用的密碼資訊來識別未使用的認證以進行刪除,例如刪除過去 90 天內未登入的使用者,建議您調整評估時段,使其包含 2018 年 5 月 23 日之後的日期。 AWS 或者,如果您的用戶使用訪問密鑰以 AWS 編程方式訪問,則可以參考訪問密鑰上次使用的信息,因為它對所有日期都是準確的。

透過下載憑證報告尋找未使用的密碼 (主控台)
  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Credential report (憑證報告)

  3. 選擇 Download Report (下載報告) 以下載名稱為 status_reports_<date>T<time>.csv 的逗號分隔值 (CSV) 檔案。第五個欄位包含 password_last_used 欄與日期或以下其中一項:

    • N/A (無) – 完全沒有指派密碼的使用者。

    • no_information (無資訊) – 自從 IAM 在 2014 年 10 月 20 日開始追蹤密碼使用期限,未使用他們密碼的使用者。

若要尋找未使用的密碼 (AWS CLI)

執行以下命令來尋找未使用的密碼:

  • aws iam list-users 傳回使用者清單,每個都有一個 PasswordLastUsed 值。如果缺少值,則表示使用者沒有密碼或者自從 IAM 在 2014 年 10 月 20 日開始追蹤密碼使用期限,未使用密碼。

若要尋找未使用的密碼 (AWS API)

呼叫以下操作來尋找未使用的密碼:

  • ListUsers 傳回使用者集合,每個選項都有 <PasswordLastUsed> 值。如果缺少值,則表示使用者沒有密碼或者自從 IAM 在 2014 年 10 月 20 日開始追蹤密碼使用期限,未使用密碼。

如需關於下載憑證報告的命令的資訊,請參閱取得憑證報告 (AWS CLI)

尋找未使用的存取金鑰

您可以使用 AWS Management Console 來檢視使用者的存取金鑰使用資訊。如果您有大量的使用者,您可以使用主控台來下載憑證報告,以尋找每位使用者上次使用他們的存取金鑰的時間。您也可以從 AWS CLI 或 IAM API 存取這些資訊。

尋找未使用的存取金鑰 (主控台)
  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)

  3. 如有必要,請將 Access key last used (上次使用的存取金鑰) 欄位新增到使用者表格:

    1. 在最右側的表格上方,選擇設定圖示 ( 
                  Settings icon
                )。

    2. 選取可見欄 中選取 存取金鑰上次使用時間

    3. 選擇 確認 返回使用者清單。

  4. [存取金鑰上次使用] 資料行會顯示自使用者上次 AWS 以程式設計方式存取以來的天數。您可以使用此資訊來尋找存取金鑰超過指定期間都沒有使用的使用者。該欄會向沒有存取金鑰的使用者顯示 。最近未使用的存取金鑰可能就是待移除的項目。

透過下載憑證報告尋找未使用的存取金鑰 (主控台)
  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Credential Report (憑證報告)

  3. 選擇 Download Report (下載報告) 以下載名稱為 status_reports_<date>T<time>.csv 的逗號分隔值 (CSV) 檔案。欄位 11 到 13 包含存取金鑰 1 上次使用的日期、區域和服務資訊。欄位 16 到 18 包含存取金鑰 2 的相同資訊。如果使用者沒有存取金鑰,或者使用者自從 IAM 在 2015 年 4 月 22 日開始追蹤存取金鑰使用期限均未使用存取金鑰,該值為 N/A (無)。

若要尋找未使用的存取金鑰 (AWS CLI)

執行以下命令來尋找未使用的存取金鑰:

  • aws iam list-access-keys 傳回有關使用者的存取金鑰的資訊,包括 AccessKeyID

  • aws iam get-access-key-last-used 需要存取金鑰 ID 並會傳回輸出,其中包含上次使用存取金鑰的 LastUsedDateRegion,以及上次所請求服務的 ServiceName。如果缺少 LastUsedDate,則表示自從 IAM 在 2015 年 4 月 22 日開始追蹤存取金鑰使用期限均未使用存取金鑰。

若要尋找未使用的存取金鑰 (AWS API)

呼叫以下操作來尋找未使用的存取金鑰:

  • ListAccessKeys 傳回與指定的使用者關聯之存取金鑰的 AccessKeyID 值清單。

  • GetAccessKeyLastUsed 需要存取金鑰 ID 並會傳回值集合。包含有是上次使用的存取金鑰的 LastUsedDateRegion,以及上次所請求服務的 ServiceName。如果缺少值,則表示使用者沒有存取金鑰,或者自從 IAM 在 2015 年 4 月 22 日開始追蹤存取金鑰使用期限均未使用存取金鑰。

如需關於下載憑證報告的命令的資訊,請參閱取得憑證報告 (AWS CLI)