IAMユーザにアクセスキーの発行・削除権限を与えて、動作を確認してみる

IAMユーザにアクセスキーの発行・削除権限を与えて、動作を確認してみる

IAMアクセスキーのローテーションをAWS CLIで実施してみました。
#AWS
#AWS IAM
藤井元貴

藤井元貴

facebook logohatena logotwitter logo
Clock Icon2022.06.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWSアクセスキーは、90日のローテーションが推奨されています。AWS Security Hubでもローテーションのルールがあります。

何らかのSaaSで使っているアクセスキーは、人間がローテーションせざるを得ないことが多いと思います。 しかし、自分たちで開発しているソフトウェアで利用している場合は、AWSアクセスキーのローテーションを自動化できるかも?と思ったので、動作を確認してみました。

AWSアクセスキーのローテーション自動化を推奨するものではありません。組織のルール、付与されている権限の内容、扱っている情報、などによって判断してください。

おすすめの方

  • AWSアクセスキーをプログラム等でローテーションしたい方

IAMユーザを作成する

アクセスキーの作成・削除の権限を付与します。また、実験用にS3バケットの一覧取得の権限も付与します。

CloudFormationテンプレート

AWSTemplateFormatVersion: 2010-09-09
Description: IAM User Sample

Resources:
  User:
    Type: AWS::IAM::User
    Properties:
      UserName: accesskey-rotate-sample-user

  UserPoricy:
    Type: AWS::IAM::Policy
    Properties:
      PolicyName: accesskey-rotate-sample-user-policy
      PolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: Allow
            Action:
              - s3:ListBuckets
              - s3:ListAllMyBuckets
            Resource: "*"
          - Effect: Allow
            Action:
              - iam:CreateAccessKey
              - iam:DeleteAccessKey
            Resource: !GetAtt User.Arn
      Users:
        - !Ref User

デプロイ

デプロイします。

aws cloudformation deploy \
    --template-file iam.yaml \
    --stack-name IAM-User-Sample-Stack \
    --capabilities CAPABILITY_NAMED_IAM

AWSアクセスキーの取得

アクセスキーを取得します。

aws iam create-access-key \
    --user-name accesskey-rotate-sample-user

動作確認

さきほど取得したアクセスキーを環境変数に設定します。

export AWS_ACCESS_KEY_ID=aaa
export AWS_SECRET_ACCESS_KEY=bbbb

S3バケットの一覧を取得できることを確認します。

aws s3 ls

新しいアクセスキーを発行したあと、このアクセスキーが使えなくなることを確認します。

IAMユーザのアクセスキーをローテーションする

新しいアクセスキーを取得する

新しいアクセスキーを取得します。

aws iam create-access-key \
    --user-name accesskey-rotate-sample-user

新しいアクセスキーが使えることを確認する

新しいアクセスキーを環境変数に設定します。

export AWS_ACCESS_KEY_ID=xxx
export AWS_SECRET_ACCESS_KEY=yyy

新しいアクセスキーでS3バケットの一覧が取得できることを確認します。

aws s3 ls

古いアクセスキーを削除する

古いアクセスキーを削除します。これ自体は、新しいアクセスキーで実行します(さきほど新しいアクセスキーに切り替えています)。

aws iam delete-access-key \
    --access-key-id aaa \
    --user-name accesskey-rotate-sample-user

古いアクセスキーが使えないことを確認する

最初に取得したアクセスキーに切り替えます。

export AWS_ACCESS_KEY_ID=aaa
export AWS_SECRET_ACCESS_KEY=bbb

無事に使えなくなっています。

aws s3 ls

An error occurred (InvalidAccessKeyId) when calling the ListBuckets operation: The AWS Access Key Id you provided does not exist in our records.

さいごに

IAMユーザのアクセスキー更新をAWS CLIで試してみました。 AWS SDKでも可能なので、ユースケースによっては、アクセスキーのローテーションを自動化できそうです。

参考

Share this article

facebook logohatena logotwitter logo

関連記事

パブリックアクセスブロック(BPA)でインターネットアクセスを遮断してみた

パブリックアクセスブロック(BPA)でインターネットアクセスを遮断してみた

User avatar
suzuki.ryo
2024.11.22
「AWSにおける生成AI&データの全体像」というタイトルで 第8回 Classmethod AI Talks(CATs)に登壇しました #catalks

「AWSにおける生成AI&データの全体像」というタイトルで 第8回 Classmethod AI Talks(CATs)に登壇しました #catalks

User avatar
石川覚
2024.11.21
CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

User avatar
suzuki.ryo
2024.11.21
[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

User avatar
武田隆志
2024.11.21
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.