Rotação periódica das teclas de acesso
Cenário
Os usuários corporativos geralmente usam chaves de acesso (AK/SKs) para acessar recursos da nuvem por meio de APIs. Eles são aconselhados a fazer as chaves de acesso girar automaticamente para reduzir potenciais riscos de segurança.
Esta seção orienta você pela rotação de chaves de acesso chamando APIs. Você também pode automatizar a rotação de teclas de acesso usando métodos programáticos.
Pré-requisitos
Antes de executar operações nas chaves de acesso de outro usuário do IAM como administrador, certifique-se de que você tenha recebido a função de Security Administrator. Se você executará operações em suas próprias chaves de acesso como um usuário do IAM, não precisará de nenhuma permissão especial atribuída.
Procedimento geral
As seguintes etapas estão envolvidas para girar periodicamente suas teclas de acesso:
- Crie uma chave de acesso.
- Consulte a hora em que todas as suas chaves de acesso ou uma chave de acesso especificada é criada e determine se elas precisam ser rotacionadas.
- Exclua a chave de acesso antiga.
- Crie uma nova chave de acesso.
As seguintes APIs serão usadas neste exemplo:
Passo 1: crie uma chave de acesso permanente
URI: POST /v3.0/OS-CREDENTIAL/credentials
Para obter detalhes sobre a API, consulte Criação de uma chave de acesso permanente.
- Exemplo de solicitação
POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials{ "credential": { "description": "IAMDescription", "user_id": "07609fb9358010e21f7bc003751..." } }
- Exemplo de resposta
{ "credential": { "access": "P83EVBZJMXCYTMUII...", "create_time": "2020-01-08T06:25:19.014028Z", "user_id": "07609fb9358010e21f7bc003751...", "description": "IAMDescription", "secret": "TTqAHPbhWorg9ozx8Dv9MUyzYnOKDppxzHt...", "status": "active" }
Passo 2: consulte o tempo de criação de uma chave de acesso especificada ou de todas as chaves de acesso
- Consulte o tempo de criação de todas as chaves de acesso.
URI: GET /v3.0/OS-CREDENTIAL/credentials
Para obter detalhes sobre a API, consulte Consulta de chaves de acesso permanentes.
- Exemplo de solicitação
Usuário do IAM: use a seguinte API para consultar o tempo de criação de todas as suas chaves de acesso.
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentialsAdministrador: use a API a seguir para consultar o tempo de criação de todas as chaves de acesso de outro usuário do IAM. (076… indica o ID do usuário a ser consultado.)
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials?user_id=076... - Exemplo de resposta
{ "credentials": [ { "access": "LOSZM4YRVLKOY9E8X...", "create_time": "2020-01-08T06:26:08.123059Z", "user_id": "07609fb9358010e21f7bc0037...", "description": "", "status": "active" }, { "access": "P83EVBZJMXCYTMU...", "create_time": "2020-01-08T06:25:19.014028Z", "user_id": "07609fb9358010e21f7bc003751...", "description": "", "status": "active" } ] }
- Exemplo de solicitação
- Consultar a hora de criação de uma chave de acesso especificada.
URI: GET /v3.0/OS-CREDENTIAL/credentials/{access_key}
Para obter detalhes sobre a API, consulte Consulta de uma chave de acesso permanente.
- Exemplo de solicitação
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key}
- Exemplo de resposta
{ "credential": { "last_use_time": "2020-01-08T06:26:08.123059Z", "access": "LOSZM4YRVLKOY9E8...", "create_time": "2020-01-08T06:26:08.123059Z", "user_id": "07609fb9358010e21f7bc00375....", "description": "", "status": "active" } }
- Exemplo de solicitação
Passo 3: exclua a chave de acesso antiga
URI: DELETE /v3.0/OS-CREDENTIAL/credentials/{access_key}
Para obter detalhes sobre a API, consulte Exclusão de uma chave de acesso permanente.
- Exemplo de solicitação
DELETE https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key}
- Exemplo de resposta
Esta API não tem um corpo de resposta. Se o código de status 204 for exibido, a chave de acesso será apagada com sucesso.
