Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2024-08-01 GMT+08:00

Rotación periódica de claves de acceso

Escenario

Los usuarios empresariales suelen usar claves de acceso (AK/SK) para acceder a los recursos de la nube a través de las API. Se recomienda hacer que las claves de acceso giren automáticamente para reducir los riesgos potenciales de seguridad.

Esta sección le guiará a través de la rotación de claves de acceso invocando a las API. También puede automatizar la rotación de claves de acceso mediante métodos programáticos.

Prerrequisitos

Antes de realizar operaciones en las claves de acceso de otro usuario de IAM como un administrador, asegúrese de que se le ha asignado el rol de Security Administrator. Si realiza operaciones con sus propias claves de acceso como usuario de IAM, no necesita ningún permiso especial asignado.

Procedimiento general

Para rotar periódicamente las claves de acceso, se requieren los siguientes pasos:

  1. Cree una clave de acceso.
  2. Consulte la hora a la que se crean todas las claves de acceso o una clave de acceso especificada y determine si es necesario rotarlas.
  3. Cree una nueva clave de acceso.
  4. Elimine la clave de acceso antigua.

En este ejemplo se usarán las siguientes API:

Paso 1: Crear una clave de acceso permanente

URI: POST /v3.0/OS-CREDENTIAL/credentials

Para obtener más información sobre la API, consulte Creación de una clave de acceso permanente.

  • Ejemplo de solicitud
    POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials
    {
        "credential": {
            "description": "IAMDescription",
            "user_id": "07609fb9358010e21f7bc003751..."
        }
    }
  • Ejemplo de respuesta
    {
        "credential": {
            "access": "P83EVBZJMXCYTMUII...",
            "create_time": "2020-01-08T06:25:19.014028Z",
            "user_id": "07609fb9358010e21f7bc003751...",
            "description": "IAMDescription",
            "secret": "TTqAHPbhWorg9ozx8Dv9MUyzYnOKDppxzHt...",
            "status": "active"
        
    }

Paso 2: Consultar la hora de creación de una clave de acceso especificada o de todas las claves de acceso

  • Consultar el tiempo de creación de todas las claves de acceso.

    URI: GET /v3.0/OS-CREDENTIAL/credentials

    Para obtener más información sobre la API, consulte Consulta de claves de acceso permanente.

    • Ejemplo de solicitud

      Usuario de IAM: Utilice la siguiente API para consultar el tiempo de creación de todas sus claves de acceso.

      GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials

      Administrador: Utilice la siguiente API para consultar el tiempo de creación de todas las claves de acceso de otro usuario de IAM. (076… indica el ID del usuario a consultar.)

      GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials?user_id=076...
    • Ejemplo de respuesta
      {
          "credentials": [
              {
                  "access": "LOSZM4YRVLKOY9E8X...",
                  "create_time": "2020-01-08T06:26:08.123059Z",
                  "user_id": "07609fb9358010e21f7bc0037...",
                  "description": "",
                  "status": "active"
              },
              {
                  "access": "P83EVBZJMXCYTMU...",
                  "create_time": "2020-01-08T06:25:19.014028Z",
                  "user_id": "07609fb9358010e21f7bc003751...",
                  "description": "",
                  "status": "active"
              }
          ]
      }
  • Query the creation time of a specified access key.

    URI: GET /v3.0/OS-CREDENTIAL/credentials/{access_key}

    For details about the API, see Consulta de una clave de acceso permanente.

    • Example Request
      GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key}
    • Example Response
      {
          "credential": {
              "last_use_time": "2020-01-08T06:26:08.123059Z",
              "access": "LOSZM4YRVLKOY9E8...",
              "create_time": "2020-01-08T06:26:08.123059Z",
              "user_id": "07609fb9358010e21f7bc00375....",
              "description": "",
              "status": "active"
          }
      }

Paso 3: Crear una nueva clave de acceso

Repita Paso 1: Crear una clave de acceso permanente.

Paso 4: Eliminar la antigua clave de acceso

URI: DELETE /v3.0/OS-CREDENTIAL/credentials/{access_key}

Para obtener más información sobre la API, consulte Eliminación de una clave de acceso permanente.

  • Ejemplo de solicitud
    DELETE https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key}
  • Ejemplo de respuesta

    Esta API no tiene un cuerpo de respuesta. Si se muestra el código de estado 204, la clave de acceso se elimina correctamente.