Je n'ai pas de document recommandant une seule clé d'accès par utilisateur, mais AWS recommande de faire pivoter les clés d'accès régulièrement. Voir Managing Access Keys for IAM Users, la section intitulée "Rotation des touches d'accès".
Alors vous devriez, comme la meilleure pratique, procédez comme suit à intervalles réguliers (tous les 30, 60, 90 jours, etc.)
- Créer une deuxième clé d'accès pour l'utilisateur
- Où que vous utilisez la première clé d'accès, remplacez-la par la seconde
- Patientez quelques instants et confirmez que la première touche d'accès n'est pas utilisée.
- Après confirmation, désactiver ou supprimer la première clé d'accès
Le système clé deux accès est de permettre cette rotation de se produire tout en gardant le temps où une clé d'accès est désactivé/supprimé, mais toujours utilisé pour un minimum. J'ai été un peu dans d'autres outils où vous devez désactiver l'ancienne clé lorsque vous générez une nouvelle clé. Parce que parfois, il faut du temps pour utiliser les nouvelles clés après leur génération.
Si un utilisateur a besoin de plus d'une clé d'accès, il doit alors y avoir une question sur la raison pour laquelle il doit être plutôt que multiple.Il y a des avantages à l'utilisation de plusieurs utilisateurs:
- Les autorisations peuvent être plus granulaire
- Si une clé se fuite, il y a moins d'endroits où il doit être remplacé
- Vous avez une meilleure piste de vérification de ce les outils agissent sur votre compte, et quand
Pour cette raison, je recommande de n'avoir qu'une seule clé d'accès "sur le terrain".
Je pense, vraiment, si quelqu'un veut vraiment utiliser 2 clés pour un seul utilisateur, ils sont juste paresseux.
Je crée des utilisateurs et des rôles IAM individuels pour chaque outil à accéder. Je ne les réutilise jamais.
Mise à jour
AWS recommande la rotation des clés d'accès à un horaire régulier.
Source: http://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html
De plus, leur "howto" sur le processus de rotation de la clé utilise les touches d'accès attribués à un utilisateur IAM:
Source: https://aws.amazon.com/blogs/security/how-to-rotate-access-keys-for-iam-users/
Ergo, cible pour une clé d'accès "en cours d'utilisation" par utilisateur IAM à un moment donné.
Merci pour cette information. J'ai dû ignorer cette première raison parce que j'ai lu cet article mais je pensais qu'il s'appliquait à différents utilisateurs d'IAM (pas le même), ce qui fait vraiment beaucoup de sens. En ce qui concerne l'ancienne clé, je l'ai désactivée mais pas supprimée. – ryekayo
En fait, le premier élément recommande d'utiliser plusieurs clés d'accès, sans surcharger plusieurs clés d'accès au sein d'un seul utilisateur IAM. Et "isoler les permissions" le solidifie parce que vous ne pouvez pas donner des permissions différentes à chaque clé d'accès sous le même utilisateur IAM. Vous pouvez satisfaire l'élément 1 en utilisant des utilisateurs IAM distincts. –
Je ne suis pas d'accord sur la façon dont vous interprétez le premier point, mais je suis également d'accord qu'il est probablement un peu plus facile à suivre par des utilisateurs distincts que plusieurs clés sur un seul utilisateur. –