Recherche d’informations d’identification AWS non utilisées - AWS Identity and Access Management
Recherche de mots de passe inutilisésRecherche des clés d'accès inutilisées

Recherche d’informations d’identification AWS non utilisées

Pour améliorer la sécurité de votre Compte AWS, supprimez les informations d'identification utilisateur IAM (c'est-à-dire, le mot de passe et les clés d'accès) qui ne sont pas nécessaires. Par exemple, lorsque les utilisateurs quittent votre organisation ou n'ont plus besoin d'accéder à AWS, recherchez leurs informations d'identification afin de s'assurer qu'elles ne sont plus opérationnelles. Idéalement, supprimez les informations d'identification qui ne sont plus requises. Il est toujours possible de les recréer ultérieurement, si nécessaire. Vous devez au moins modifier le mot de passe ou désactiver les clés d'accès afin que les anciens utilisateurs ne soient plus en mesure de s'en servir.

La signification du mot inutilisées peut bien sûr varier : cela indique généralement que les informations d'identification n'ont pas été utilisées au cours d'un laps de temps spécifié.

Recherche de mots de passe inutilisés

Vous pouvez utiliser l’interface AWS Management Console pour afficher des informations sur l'utilisation des mots de passe de vos utilisateurs. Si vous disposez d'un nombre volumineux d'utilisateurs, vous pouvez utiliser la console pour télécharger un rapport d'informations d'identification contenant des données sur la dernière utilisation du mot de passe de console par chaque utilisateur. Vous pouvez également accéder à ces informations à partir de la AWS CLI ou de l'API IAM.

Pour rechercher les mots de passe inutilisés (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Au besoin, ajoutez la colonne Console last sign-in (Dernière connexion à la console) à la table des utilisateurs :

    1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres ( Settings icon ).

    2. Dans Sélectionner les colonnes visibles, sélectionnez Dernière connexion à la console.

    3. Choisissez Confirmer pour revenir à la liste des utilisateurs.

  4. La colonne Dernière connexion à la console affiche le nombre de jours écoulés depuis la dernière connexion de l'utilisateur à AWS via la console. Ces informations vous permettent de rechercher les utilisateurs avec mots de passe ne s'étant pas connectés depuis une période donnée. La colonne affiche Jamais pour les utilisateurs avec mots de passe ne s'étant jamais connectés. Aucun indique les utilisateurs sans mot de passe. Les mots de passe qui n'ont pas été utilisés récemment peuvent être supprimés.

    Important

    En raison d'un problème de service, les données de dernière d'utilisation du mot de passe n'incluent pas l'utilisation du mot de passe entre le 3 mai 2018 et le 23 mai 2018 22:50 14:08 PDT (heure du Pacifique). Cela a un impact sur les dates de dernière connexion affichées dans la console IAM et les dates de dernière utilisation du mot de passe dans le rapport sur les informations d'identification IAM, renvoyées par l'opération d'API GetUser. Si des utilisateurs se sont connectés au cours de la période concernée, la date de dernière d'utilisation du mot de passe renvoyée est la date de la dernière connexion de l'utilisateur avant le 3 mai 2018. Pour les utilisateurs qui se sont connectés après le 23 mai 2018 14:08 PDT, la date de dernière utilisation du mot de passe renvoyée est exacte.

    Si vous utilisez les informations de dernière utilisation du mot de passe pour identifier les informations d'identification inutilisées en vue de leur suppression, par exemple pour supprimer des utilisateurs qui ne se sont pas connectés à AWS au cours des 90 derniers jours, nous vous recommandons d'ajuster votre fenêtre d'évaluation pour inclure les dates après le 23 mai 2018. Sinon, si vos utilisateurs utilisent des clés d'accès pour accéder à AWS par programmation, vous pouvez vous référer aux informations de dernière d'utilisation de clé d'accès, car celles-ci sont exactes pour toutes les dates.

Pour rechercher les mots de passe inutilisés en téléchargeant le rapport d'informations d'identification (console)

  1. Connectez-vous à l'outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Rapport sur les informations d'identification.

  3. Choisissez Télécharger le rapport pour télécharger un fichier CSV nommé status_reports_<date>T<time>.csv. La cinquième colonne contient la colonne password_last_used avec les dates ou l'une des mentions suivantes :

    • N/A : utilisateurs auxquels aucun mot de passe n'est affecté.

    • no_information : utilisateurs n'ayant pas utilisé leur mot de passe depuis le 20 octobre 2014, date à laquelle IAM a commencé le suivi de l'âge des mots de passe.

Pour rechercher des mots de passe inutilisés (AWS CLI)

Exécutez la commande suivante pour rechercher les mots de passe inutilisés :

  • aws iam list-users retourne une liste d'utilisateurs, avec une valeur PasswordLastUsed pour chacun. Si la valeur est manquante, cela signifie que l'utilisateur ne dispose pas de mot de passe ou qu'il ne l'a pas utilisé depuis le 20 octobre 2014, date à laquelle IAM a commencé le suivi de l'âge des mots de passe.

Pour rechercher des mots de passe inutilisés (API AWS)

Appelez l'opération suivante pour rechercher les mots de passe inutilisés :

  • ListUsers retourne une collection d'utilisateurs, avec une valeur <PasswordLastUsed> pour chacun. Si la valeur est manquante, cela signifie que l'utilisateur ne dispose pas de mot de passe ou qu'il ne l'a pas utilisé depuis le 20 octobre 2014, date à laquelle IAM a commencé le suivi de l'âge des mots de passe.

Pour plus d'informations sur les commandes à utiliser pour le téléchargement du rapport d'informations d'identification, consultez Obtention de rapports d'informations d'identification (AWS CLI).

Recherche des clés d'accès inutilisées

Vous pouvez utiliser l’interface AWS Management Console pour afficher des informations sur l'utilisation des clés d'accès de vos utilisateurs. Si vous disposez d'un nombre volumineux d'utilisateurs, vous pouvez utiliser la console pour télécharger un rapport d'informations d'identification pour connaître la dernière utilisation des clés d'accès par chaque utilisateur. Vous pouvez également accéder à ces informations à partir de la AWS CLI ou de l'API IAM.

Pour rechercher les clés d'accès inutilisées (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Utilisateurs.

  3. Au besoin, ajoutez la colonne Access key last used (Dernière utilisation de clé d'accès) à la table des utilisateurs :

    1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres ( Settings icon ).

    2. Dans Sélectionner les colonnes visibles, sélectionnez Dernière clé d'accès utilisée.

    3. Choisissez Confirmer pour revenir à la liste des utilisateurs.

  4. La colonne Access key last used (Dernière utilisation de clé d'accès) affiche le nombre de jours écoulés depuis le dernier accès de l'utilisateur à AWS par programmation. Ces informations vous permettent de rechercher les utilisateurs avec des clés d'accès n'ayant pas été utilisées depuis une période donnée. La colonne affiche pour les utilisateurs sans clés d'accès. Les clés d'accès qui n'ont pas été utilisées récemment peuvent être supprimées.

Pour rechercher les clés d'accès inutilisées en téléchargeant le rapport d'informations d'identification (console)

  1. Connectez-vous à l'outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Rapport sur les informations d'identification.

  3. Choisissez Télécharger le rapport pour télécharger un fichier CSV nommé status_reports_<date>T<time>.csv. Les colonnes 11 à 13 contiennent la date, la région et les informations de service de la dernière utilisation pour la clé d'accès 1. Les colonnes 16 à 18 contiennent les mêmes informations pour la clé d'accès 2. La valeur est N/A si l'utilisateur ne dispose pas de clé d'accès ou s'il ne l'a pas utilisée depuis le 22 avril 2015, date à laquelle IAM a commencé le suivi de l'âge des clés d'accès.

Pour rechercher les clés d'accès inutilisées (AWS CLI)

Exécutez les commandes suivantes pour rechercher les clés d'accès inutilisées :

  • aws iam list-access-keys retourne des informations sur les clés d'accès d'un utilisateur, y compris l'AccessKeyID.

  • aws iam get-access-key-last-used utilise un ID de clé d'accès et retourne une sortie qui inclut la LastUsedDate, la Region dans laquelle la clé d'accès a été utilisée la dernière fois et le ServiceName du dernier service demandé. Si la valeur de LastUsedDate est manquante, ceci indique que la clé d'accès n'a pas été utilisée depuis le 22 avril 2015, date à laquelle IAM a commencé le suivi de l'âge des clés d'accès.

Pour rechercher les clés d'accès inutilisées (API AWS)

Appelez les opérations suivantes pour rechercher les clés d'accès inutilisées :

  • ListAccessKeys retourne une liste de valeurs AccessKeyID pour les clés d'accès associées à l'utilisateur spécifié.

  • GetAccessKeyLastUsed utilise un ID de clé d'accès et retourne une collection de valeurs. Il s'agit notamment de la LastUsedDate, de la Region dans laquelle la clé d'accès a été utilisée la dernière fois et du ServiceName du dernier service demandé. Si la valeur est manquante, cela signifie que l'utilisateur ne dispose pas de clé d'accès ou qu'il ne l'a pas utilisée depuis le 22 avril 2015, date à laquelle IAM a commencé le suivi de l'âge des clés d'accès.

Pour plus d'informations sur les commandes à utiliser pour le téléchargement du rapport d'informations d'identification, consultez Obtention de rapports d'informations d'identification (AWS CLI).