Rotación periódica de claves de acceso
Escenario
Los usuarios empresariales suelen usar claves de acceso (AK/SK) para acceder a los recursos de la nube a través de las API. Se recomienda hacer que las claves de acceso giren automáticamente para reducir los riesgos potenciales de seguridad.
Esta sección le guiará a través de la rotación de claves de acceso invocando a las API. También puede automatizar la rotación de claves de acceso mediante métodos programáticos.
Prerrequisitos
Antes de realizar operaciones en las claves de acceso de otro usuario de IAM como un administrador, asegúrese de que se le ha asignado el rol de Security Administrator. Si realiza operaciones con sus propias claves de acceso como usuario de IAM, no necesita ningún permiso especial asignado.
Procedimiento general
Para rotar periódicamente las claves de acceso, se requieren los siguientes pasos:
- Cree una clave de acceso.
- Consulte la hora a la que se crean todas las claves de acceso o una clave de acceso especificada y determine si es necesario rotarlas.
- Cree una nueva clave de acceso.
- Elimine la clave de acceso antigua.
En este ejemplo se usarán las siguientes API:
Paso 1: Crear una clave de acceso permanente
URI: POST /v3.0/OS-CREDENTIAL/credentials
Para obtener más información sobre la API, consulte Creación de una clave de acceso permanente.
- Ejemplo de solicitud
POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials
{ "credential": { "description": "IAMDescription", "user_id": "07609fb9358010e21f7bc003751..." } }
- Ejemplo de respuesta
{ "credential": { "access": "P83EVBZJMXCYTMUII...", "create_time": "2020-01-08T06:25:19.014028Z", "user_id": "07609fb9358010e21f7bc003751...", "description": "IAMDescription", "secret": "TTqAHPbhWorg9ozx8Dv9MUyzYnOKDppxzHt...", "status": "active" }
Paso 2: Consultar la hora de creación de una clave de acceso especificada o de todas las claves de acceso
- Consultar el tiempo de creación de todas las claves de acceso.
URI: GET /v3.0/OS-CREDENTIAL/credentials
Para obtener más información sobre la API, consulte Consulta de claves de acceso permanente.
- Ejemplo de solicitud
Usuario de IAM: Utilice la siguiente API para consultar el tiempo de creación de todas sus claves de acceso.
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials
Administrador: Utilice la siguiente API para consultar el tiempo de creación de todas las claves de acceso de otro usuario de IAM. (076… indica el ID del usuario a consultar.)
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials?user_id=076...
- Ejemplo de respuesta
{ "credentials": [ { "access": "LOSZM4YRVLKOY9E8X...", "create_time": "2020-01-08T06:26:08.123059Z", "user_id": "07609fb9358010e21f7bc0037...", "description": "", "status": "active" }, { "access": "P83EVBZJMXCYTMU...", "create_time": "2020-01-08T06:25:19.014028Z", "user_id": "07609fb9358010e21f7bc003751...", "description": "", "status": "active" } ] }
- Ejemplo de solicitud
- Query the creation time of a specified access key.
URI: GET /v3.0/OS-CREDENTIAL/credentials/{access_key}
For details about the API, see Consulta de una clave de acceso permanente.
- Example Request
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key}
- Example Response
{ "credential": { "last_use_time": "2020-01-08T06:26:08.123059Z", "access": "LOSZM4YRVLKOY9E8...", "create_time": "2020-01-08T06:26:08.123059Z", "user_id": "07609fb9358010e21f7bc00375....", "description": "", "status": "active" } }
- Example Request
Paso 3: Crear una nueva clave de acceso
Paso 4: Eliminar la antigua clave de acceso
URI: DELETE /v3.0/OS-CREDENTIAL/credentials/{access_key}
Para obtener más información sobre la API, consulte Eliminación de una clave de acceso permanente.
- Ejemplo de solicitud
DELETE https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key}