IAMユーザのアクセスキーの管理について

IAMユーザーのアクセスキーの管理についてどのようにしたらいいかお困りの方も多いかと思いますので、以下に一つの方法として管理について記載します。

 

ますIAMユーザーのアクセスキーは(可能であれば)定期的な更新をしてください。
しかし現実問題として毎月更新するのは発行する側も手間ですし、どれを使っているのか分からなくなる可能性もある為以下の方法で検討してください。

1)IAMユーザーは自分自身でアクセスキーを更新が出来る権限を付与する

払い出しおよび権限自体は一元管理しつつも、その後の管理はエンドユーザーに任せるパターン
(現行と新アクセスキーを両方平行して利用することが可能です)

2)更新するタイミングは社内のコンプライアンスがあればそちらに準拠しつつも
もしAWSのIAM ユーザーの更新をするのであれば、半年に1回、最低でも1年に一回は行うとする
 
AWSのマネージメントコンソールでは以下のようなアイコンの表示方法になっています。
iamuser.png

最も古いアクティブなアクセスキーが作成されてからの日数
(緑のアイコン)作成されてから 90 日以内
(黄色のアイコン)91~365 日前に作成
(赤のアイコン)365 日以上前に作成
 
 
上記のアイコンを見ることで個別に更新されているかどうかを管理するツールを開発することなく、古いアクセスキーがあるかどうかを視覚化出来ますので、IAMユーザーを持っている開発者およびベンダーの方への注意喚起、連絡も可能になります。
 
上記は一例ですが、アクセスキー管理は運用側の負担を減らしつつセキュリティ担保を行える現実解を探っていくのがよいかと思います。
 
 
参考リンク
 
 
 
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください