#amazon-web-services #aws-lambda #aws-secrets-manager #aws-credentials
#amazon-веб-сервисы #aws-lambda #aws-секреты-менеджер #aws-учетные данные
Вопрос:
Я ищу способы автоматизировать ротацию ключей доступа (учетных данных AWS) для набора пользователей. Существует отдельный процесс, который создает ключи доступа. Мне нужно иметь возможность автоматически поворачивать ключи. Эта ссылка объясняет способ сделать это для конкретного пользователя. Как бы я смог добиться этого для списка пользователей. Есть мысли или рекомендации?
Комментарии:
1. Измените код, чтобы он выполнялся в цикле по списку ваших пользователей. Вы хотите периодически выполнять это с помощью правил CloudWatch или инициировать ротацию вручную?
2. Я хочу, чтобы этот процесс запускался, когда срок действия ключа доступа превышает 90 дней
3. Почему бы не продлевать их действие каждые 90 дней автоматически, а затем они могут сами генерировать новые через консоль управления?
4. Как они могут истекать автоматически? Есть ли настройка, которая делает это? Также необходимо автоматизировать повторное создание новых ключей
5. Прежде чем посмотреть на код, я бы спросил: «Как вы будете распространять новые ключи? Как вы узнаете, когда отключить старый ключ? Как ключи используются в настоящее время (они предназначены для приложений или используются людьми)? Как ключи будут обновляться в этих системах?» Ответы, вероятно, повлияют на то, как вы реализуете ротацию.
Ответ №1:
Вы можете использовать AWS Config, чтобы пометить старые ключи доступа несоответствующими (https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html ) а затем используйте события CloudWatch (моя статья как это сделать), чтобы запустить функцию Lambda, которая удаляет старый ключ, создает новый, а затем отправляет его пользователю.
Ответ №2:
Ключи доступа обычно используются для программного доступа приложений. Если эти приложения запущены в, говорит EC2, вы должны использовать роли для EC2. Это приведет к установке временных учетных данных в инстансе, которые будут автоматически ротироваться для вас. Интерфейс командной строки AWS и пакеты SDK знают, как автоматически извлекать эти учетные данные, поэтому вам также не нужно добавлять их в приложение.
Другие вычислительные решения (Lambda, ECS / EKS) также имеют способы предоставления ролей для приложений.