Rotación periódica de claves de acceso
Caso
Los usuarios empresariales suelen usar claves de acceso (AK/SK) para acceder a los recursos de la nube a través de las API. Se recomienda hacer que las claves de acceso giren automáticamente para reducir los riesgos potenciales de seguridad.
Esta sección le guía a través de la rotación de claves de acceso llamando a las API. También puede automatizar la rotación de claves de acceso mediante métodos programáticos.
Prerrequisitos
Antes de realizar operaciones en las claves de acceso de otro usuario de IAM como aadministrator, asegúrese de que se le ha asignado el role Security Administrator. Si realiza operaciones con sus propias claves de acceso como usuario de IAM, no necesita ningún permiso especial asignado.
Procedimiento general
Para rotar periódicamente las claves de acceso, se requieren los siguientes pasos:
- Cree una clave de acceso.
- Consulte la hora a la que se crean todas las claves de acceso o una clave de acceso especificada y determine si es necesario rotarlas.
- Borra la clave de acceso antigua.
- Crear una nueva clave de acceso.
En este ejemplo se usarán las siguientes API:
Paso 1: Crear una clave de acceso permanente
URI: POST /v3.0/OS-CREDENTIAL/credentials
Para obtener más información sobre la API, consulte Creación de una clave de acceso permanente.
- Ejemplo de la solicitud
POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials
{ "credential": { "description": "IAMDescription", "user_id": "07609fb9358010e21f7bc003751..." } }
- Ejemplo de la respuesta
{ "credential": { "access": "P83EVBZJMXCYTMUII...", "create_time": "2020-01-08T06:25:19.014028Z", "user_id": "07609fb9358010e21f7bc003751...", "description": "IAMDescription", "secret": "TTqAHPbhWorg9ozx8Dv9MUyzYnOKDppxzHt...", "status": "active" }
Paso 2: Consultar la hora de creación de una clave de acceso especificada o de todas las claves de acceso
- Consultar el tiempo de creación de todas las claves de acceso.
URI: GET /v3.0/OS-CREDENTIAL/credentials
Para obtener más información sobre la API, consulte Consulta de claves de acceso permanente.
- Ejemplo de la solicitud
Usuario de IAM: Utilice la siguiente API para consultar el tiempo de creación de todas sus claves de acceso.
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials
Administrator: Utilice la siguiente API para consultar el tiempo de creación de todas las claves de acceso de otro usuario de IAM. (076... indica el ID del usuario a consultar.)
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials?user_id=076...
- Ejemplo de la respuesta
{ "credentials": [ { "access": "LOSZM4YRVLKOY9E8X...", "create_time": "2020-01-08T06:26:08.123059Z", "user_id": "07609fb9358010e21f7bc0037...", "description": "", "status": "active" }, { "access": "P83EVBZJMXCYTMU...", "create_time": "2020-01-08T06:25:19.014028Z", "user_id": "07609fb9358010e21f7bc003751...", "description": "", "status": "active" } ] }
- Ejemplo de la solicitud
- Consulte la hora de creación de una clave de acceso especificada.
URI: GET /v3.0/OS-CREDENTIAL/credentials/{access_key}
Para obtener más información sobre la API, consulte Consulta de una clave de acceso permanente.
- Ejemplo de la solicitud
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key}
- Ejemplo de la respuesta
{ "credential": { "last_use_time": "2020-01-08T06:26:08.123059Z", "access": "LOSZM4YRVLKOY9E8...", "create_time": "2020-01-08T06:26:08.123059Z", "user_id": "07609fb9358010e21f7bc00375....", "description": "", "status": "active" } }
- Ejemplo de la solicitud
Paso 3: Eliminar la antigua clave de acceso
URI: DELETE /v3.0/OS-CREDENTIAL/credentials/{access_key}
Para obtener más información sobre la API, consulte Eliminación de una clave de acceso permanente.
- Ejemplo de la solicitud
DELETE https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key}
- Ejemplo de la respuesta
Esta API no tiene un cuerpo de respuesta. Si se visualiza el código de estado 204, la clave de acceso se borra con éxito.
Paso 4: Crear una nueva clave de acceso
Repita el Paso 1: cree una clave de acceso permanente.