Jak szybko znaleźć i zaktualizować klucze dostępu, hasło oraz ustawienia MFA, korzystając z AWS Management Console

16 marca 2021

Od teraz możesz w szybszy sposób przeglądać oraz aktualizować wszystkie poświadczenia bezpieczeństwa w jednym miejscu, korzystając ze strony My Security Credentials w konsoli zarządzania AWS Management Console.

Kiedy przyznajesz programistom dostęp programistyczny lub dostęp do konsoli AWS Management Console, otrzymują oni dane uwierzytelniające, jak hasło lub klucze dostępu, umożliwiające dostęp do zasobów AWS. Na przykład tworzenie użytkowników w AWS Identity ans Access Management (IAM) generuje długoterminowe poświadczenia dla Twoich programistów. Zrozumienie, w jaki sposób korzystać z tych poświadczeń, może być mylące, w szczególności dla osób, które dopiero poznają AWS; programiści często zwracają się do swoich administratorów po wskazówki dotyczące tego, jak używać poświadczeń.

Obecnie strona My Security Credentials została zaktualizowana, aby pomóc programistom w sposób samodzielny odkrywać, tworzyć lub modyfikować dane uwierzytelniające ich użytkowników IAM. Obejmuje to hasła dostępu do konsoli AWS, klucze dostępu do dostępu programowego AWS oraz urządzenia z uwierzytelnianiem wieloskładnikowym. Poprzez ułatwianie odkrywania i poznawania poświadczeń bezpieczeństwa AWS programiści mogą znacznie szybciej rozpocząć swoją przygodę z AWS.

Jeśli chcesz utworzyć użytkowników IAM, możesz skorzystać ze strony My Security Credentials w celu zarządzania długoterminowymi poświadczeniami. Mimo to, jako najlepszy sposób, AWS rekomenduje poleganie na tymczasowych poświadczeniach przy użyciu federacji podczas uzyskiwania dostępu do kont AWS. Federacja umożliwia Ci korzystanie z istniejącego dostawcy tożsamości w celu uzyskania dostępu do AWS. Możesz także skorzystać z AWS Single Sign-On (SSO) do centralnego zarządzania tożsamościami oraz ich dostępem do wielu kont AWS, jak i aplikacji biznesowych. W tym artykule zostaną omówione doświadczenia użytkownika IAM w konsoli zarządzania AWS pod kątem pobierania i konfigurowania poświadczeń bezpieczeństwa.

Uzyskaj dostęp do swoich poświadczeń bezpieczeństwa

Podczas interakcji z AWS potrzebujesz poświadczeń bezpieczeństwa w celu zweryfikowania Twojej tożsamości oraz tego, czy posiadasz uprawnienia dostępu do żądanych zasobów. Na przykład potrzebujesz nazwy użytkownika i hasła, aby zalogować się do AWS Management Console, a także kluczy dostępu, aby wykonywać programistyczne wywołania operacji AWS API.

Aby uzyskać dostęp do poświadczeń bezpieczeństwa oraz móc nimi zarządzać, zaloguj się do swojej konsoli AWS jako użytkownik IAM, następnie przejdź do swojej nazwy użytkownika umieszczonej w prawej górnej części paska nawigującego. Z rozwijanego menu wybierz Moje Poświadczenia Bezpieczeństwa, tak jak przedstawiono na rysunku nr 1.

Strona My Security Credentials zawiera wszystkie poświadczenia bezpieczeństwa należące do Ciebie. Jako użytkownik IAM powinieneś przejść do centralnej lokalizacji (rysunek nr 2), aby zarządzać wszystkimi swoimi poświadczeniami.

W następnym kroku zostaną zaprezentowane sposoby, w jakie użytkownicy IAM mogą wprowadzać zmiany w haśle dostępu do konsoli AWS, generować klucze dostępu, konfigurować urządzenia MFA oraz ustalać poświadczenia AWS CodeCommit, korzystając ze strony Moje Poświadczenia Bezpieczeństwa.

Zmień swoje hasło dostępu do konsoli AWS

Aby zmienić hasło, przejdź do strony Moje poświadczenia Bezpieczeństwa i pod sekcją Hasło dostępu do konsoli wybierz „Zmień hasło”. W tej sekcji możesz także sprawdzić, ile lat ma Twoje obecne hasło. W przykładzie przedstawionym na rysunku nr 3, hasło ma 121 dni. Ta informacja pomoże Ci określić, czy powinieneś zmienić swoje hasło. W oparciu o najlepsze praktyki AWS, przedstawione w poniższym przykładzie hasło powinno zostać zmienione.

Aby zaktualizować swoje hasło, wybierz przycisk Zmień hasło.

W oparciu o uprawnienia przypisane do Twojego użytkownika IAM, możesz nie widzieć wymagań dotyczących hasła ustawionych przez administratora. Rysunek pod spodem pokazuje wymagania dotyczące hasła, które administrator ustawił dla danego konta AWS. Zobaczenie wymagań dotyczących hasła jest możliwe, ponieważ użytkownik IAM posiada dostęp do przeglądania zasad haseł.

Po wybraniu opcji Zmień hasło, jeśli spełnia ono wszystkie wymagania, hasło użytkownika IAM zostanie zaktualizowane.

Wygeneruj klucze dostępu do dostępu programowego

ID klucza dostępu oraz tajny klucz dostępu są wymagane do podpisania generowanych przez Ciebie żądań przy użyciu AWS Command Line, AWS SDK lub bezpośrednich wywołań API. Jeśli poprzednio utworzyłeś klucz dostępu, mogłeś zapomnieć o jego zapisaniu. W takich przypadkach AWS rekomenduje usunięcie istniejących kluczy dostępu i utworzenie nowych. Możesz utworzyć nowe klucze dostępu ze strony Moje Poświadczenia bezpieczeństwa.

Aby utworzyć nowy klucz, wybierz przycisk „Utwórz klucz dostępu”. To spowoduje wygenerowanie nowego tajnego klucza dostępu. To jedyny raz, kiedy możesz wyświetlić lub pobrać tajny klucz dostępu. Zgodnie z najlepszą praktyką dotyczącą bezpieczeństwa, AWS nie pozwala na odzyskiwanie tajnego klucza dostępu po jego początkowym utworzeniu.

Następnie wybierz Pobierz plik .csv (przedstawiony na poniższym rysunku) i zapisz go w bezpiecznej lokalizacji, dostępnej tylko dla Ciebie.

Uwaga: Jeśli posiadasz już maksymalnie dwa klucze dostępu – aktywne lub nieaktywne – musisz usunąć jeden z nich przed utworzeniem nowego klucza.

Jeśli masz powód, by wierzyć, że ktoś poza Tobą posiada dostęp do Twoich tajnych kluczy, jak i kluczy dostępu, musisz usunąć je natychmiast, a następnie utworzyć nowe. Aby usunąć istniejący klucz dostępu, wybierz „Usuń” obok ID klucza dostępu, tak jak pokazano poniżej. Możesz dowiedzieć się więcej na ten temat, odwiedzając sprawdzone metody zarządzania kluczami dostępu.

Okno dialogowe „Usuń klucz dostępu” pokazuje, kiedy klucz był używany po raz ostatni. Ta informacja jest niezbędna, aby pomóc Ci w zrozumieniu, czy istniejący system używa klucza dostępu oraz czy usuwanie tego klucza może coś uszkodzić.

Przyporządkuj urządzenia MFA

Jako najlepszy sposób AWS rekomenduje włączenie uwierzytelniania dwuskładnikowego (MFA) dla wszystkich użytkowników IAM. MFA dodaje dodatkową warstwę zabezpieczeń, ponieważ wymaga od użytkowników zapewnienia unikalnego uwierzytelnienia z mechanizmu MFA obsługiwanego przez AWS oprócz swoich poświadczeń logowania podczas uzyskiwania dostępu do AWS. Od teraz użytkownicy IAM mogą przypisywać lub wyświetlać swoje obecne ustawienia usługi MFA poprzez stronę Moje Poświadczenia Bezpieczeństwa.


Aby dowiedzieć się więcej na temat wsparcia MFA w AWS, jak i o konfigurowaniu urządzeń MFA dla użytkowników IAM, odwiedź stronę Włączanie Urządzeń MFA.

Wygeneruj dane uwierzytelniające AWS CodeCommit

Strona Moje Poświadczenia Bezpieczeństwa pozwala Ci na konfigurowanie poświadczeń Git dla AWS CodeCommit, usługi kontroli wersji do prywatnego przechowywania i zarządzania zasobami, takimi jak dokumenty czy kod źródłowy w chmurze. Ponadto, aby uzyskać dostęp do magazynów CodeCommit bez instalowania CLI, możesz skonfigurować połączenie SSH, przesyłając klucz publiczny SSH na stronie Moje Poświadczenia Bezpieczeństwa, jak pokazano poniżej. Aby dowiedzieć się więcej o AWS CodeCommit oraz innych opcjach konfiguracji, odwiedź Podręcznik użytkownika AWS CodeCommit.

Podsumowanie

Strona Moje Poświadczenia Bezpieczeństwa dla użytkowników IAM znacznie ułatwia konfigurowanie i zarządzanie poświadczeniami bezpieczeństwa, aby pomóc programistom zacząć działać szybciej w AWS. Aby dowiedzieć się więcej o poświadczeniach bezpieczeństwa i ich najlepszych praktykach, zapoznaj się z dokumentacją o zarządzaniu tożsamością i dostępem.

Jeśli posiadasz uwagi dotyczące powyższego artykułu, zamieść je w sekcji komentarzy umiejscowionej poniżej. Jeśli masz pytania lub sugestie dotyczące tego rozwiązania, rozpocznij nowy wątek na forum IAM.

źródło: AWS

 

Case Studies
Referencje

Hostersi wsparli nas na każdym etapie projektowania i budowy infrastruktury. Finansowanie, które pomogli pozyskać nam od AWS, pozwoliło przetestować szereg różnych rozwiązań i wybrać konfigurację, która najlepiej odpowiada potrzebom naszej aplikacji. Hostersi stworzyli dla nas infrastrukturę „szytą na miarę”, którą dzięki programowi wsparcia startupów, pozyskaliśmy niemal bezkosztowo.

Wojciech Mróz
CEO & Co-founder Pagaspot
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.