Gerenciar chaves de acesso para usuários do IAM
Importante
Como prática recomendada, use credenciais de segurança temporárias (como perfis do IAM), em vez de criar credenciais de longo prazo, como as chaves de acesso. Antes de criar chaves de acesso, avalie as alternativas às chaves de acesso de longo prazo.
As chaves de acesso são credenciais de longo prazo para um usuário do IAM ou o Usuário raiz da conta da AWS. Você pode usar chaves de acesso para assinar solicitações programáticas na AWS CLI ou na API da AWS (diretamente ou usando o SDK da AWS). Para ter mais informações, consulte Acesso programático com credenciais de segurança da AWS.
As chaves de acesso consistem em duas partes: um ID de chave de acesso (por exemplo, AKIAIOSFODNN7EXAMPLE) e uma chave de acesso secreta (por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Você deve usar o ID da chave de acesso e a chave de acesso secreta em conjunto para autenticar suas solicitações.
Ao criar um par de chaves de acesso, salve o ID de chave de acesso e a chave de acesso secreta em um local seguro. A chave de acesso secreta pode ser recuperada somente no momento em que você a cria. Se tiver perdido a chave de acesso secreta, você deverá excluir a chave de acesso e criar uma nova. Para obter mais instruções, consulte Atualizar chaves de acesso.
É possível ter um máximo de duas chaves de acesso por usuário.
Importante
Usuários do IAM com chaves de acesso são um risco à segurança da conta. Gerencie suas chaves de acesso com segurança. Não as forneça a terceiros não autorizados, mesmo que seja para ajudar a localizar os identificadores da sua conta. Ao fazer isso, você pode dar a alguém acesso permanente à sua conta.
Ao trabalhar com chaves de acesso, tenha em mente o seguinte:
-
NÃO use as credenciais de usuário-raiz da sua conta para criar chaves de acesso.
-
NÃO coloque chaves de acesso literais ou informações de credenciais em seus arquivos de aplicações.
-
NÃO inclua arquivos que contenham informações de chaves de acesso ou de credenciais em sua área de projeto.
-
As informações de chaves de acesso ou de credenciais armazenadas no arquivo de credenciais da AWS compartilhado são armazenadas em texto simples.
Recomendações de monitoramento
Após criar chaves de acesso:
-
Use o AWS CloudTrail para monitorar o uso da chave de acesso e detectar quaisquer tentativas de acesso não autorizadas. Para ter mais informações, consulte Registro em log de chamadas de API do IAM e do AWS STS com o AWS CloudTrail.
-
Configure alarmes do CloudWatch para notificar os administradores sobre tentativas de acesso negado para ajudar a detectar atividades maliciosas. Para obter mais informações, consulte o Guia do usuário do Amazon CloudWatch.
-
Revise, atualize e exclua regularmente as chaves de acesso conforme necessário.
Os tópicos a seguir detalham as tarefas de gerenciamento associadas a chaves de acesso.
Tópicos
- Permissões necessárias para gerenciar chaves de acesso
- Como os usuários do IAM podem gerenciar suas próprias chaves de acesso
- Como um administrador do IAM pode gerenciar as chaves de acesso do usuário do IAM
- Atualizar chaves de acesso
- Proteger chaves de acesso
- Usar o IAM com o Amazon Keyspaces (para Apache Cassandra)
